VPNは歴史に残るか?

Avid

2021年03月18日
VPNは歴史に残るか?

放送局のニュースルームの常識は大きく変わったのか?世界の国々がロックダウンに入ったとき、放送局は遠隔放送のサポート体制を整えるために奔走しました。そして、道半ばであったにもかかわらず、業界は遠隔作業が十二分に可能であることを学びました。

ついにトンネルの終わりに光が見えてきましたが、それは物事が元の状態に戻っているという意味ではありません。仕事の文化自体にこのような大きな変化が起こっている今、放送局は、リモート対応のニュースルーム用ネットワークを保護することを検討する時が来ました。そこで、ゼロトラストセキュリティモデルが登場します。

放送局は岐路に立っている

何十年もの間、仮想プライベートネットワーク(VPN)は、リモートワーカーに組織のネットワークとアプリケーションへのアクセスを提供するための標準でした。米国国立標準技術研究所(NIST)は、ユーザーが自社のリソースにアクセスするために必要な方法の拡大と攻撃パターンの変化を指摘し、これを変える必要があると述べています。 2020年8月、NISTは、複数の内部ネットワーク、リモートデバイス、クラウドサービスが複雑に絡み合った現代のリモートワークを実現するためには、VPNでは十分ではないと警告しました。放送局は、記者、ストリンガー、プロデューサー、編集者、ポストプロダクション施設、伝送インフラなどのチームが遠く離れた場所に存在するため、もともと複雑な組織です。

従来、放送局では、重要な資産を物理的に隔離するために、鍵のかかる施設に保管し、認証を受けた担当者がアクセスできるようにしていました。また、ほとんどの放送局では、ストレージやワークフローのために、社内で整備されたハードウェアを使用していました。しかし、これらのプロセスや手順の多くは、この急激に変化した環境には最適ではありません。

NISTは、VPNに頼るのではなく、ゼロトラスト・セキュリティ・モデルへの移行を推奨しています。Gartner社は、2023年までに60%の企業がゼロトラスト・セキュリティを採用すると予測しています。
運用をより安全にする過程にある場合は、組織の60%が2023年までにゼロトラストセキュリティ体制を採用するとGartnerが推定していることを考慮してください。

VPNまたはゼロトラスト?

VPNは、境界セキュリティと呼ばれるモデルを使用します。それらは、建物の入り口にある警備員や物理的なアクセス制御システムのようなものです。考え方は、境界内のすべてが安全であると見なされるということです。ネットワークの外部で作業する人は誰でも、VPNを使用して境界に侵入します。VPNセキュリティの前提は、適切なログイン資格情報を持っている人は誰でも善良な行為者であるということです。これは、ネットワーク境界内からの侵害されたユーザー資格情報やその他の脅威を考慮していません。

ここで、ゼロトラストセキュリティ戦略が役立つ場合があります。VPNとは異なり、ゼロトラストセキュリティアプローチは何も想定していません。すべてが潜在的な攻撃と見なされます。アクセスごとに複数の要素を評価することによってのみ、アクセスが本物であり、許可されているかどうかを判断できます。 すべてのリモートユーザーにネットワークのすべての部分にアクセスする権利を与えるのではなく、各ユーザーは、自分の仕事をするためにアクセスが許可されているアプリケーションとサービスにのみログインできます。アクセスは、役割またはコンテキストに基づくことができます。たとえば、フリーランスの編集者はホームネットワークからメディア資産管理システムにアクセスできますが、喫茶店からログインした場合は、電話にテキストで送信されるコードなど、追加の認証レイヤーが必要になります。

ゼロトラストアーキテクチャは、VPNでは不可能な方法でインサイダーおよび外部の攻撃から保護します。悪意のある従業員やハッカーがVPN経由でネットワークに侵入すると、データやコンテンツを盗む可能性があります。これらの横方向の攻撃は、境界戦略だけでは軽減するのが困難です。これを、複数のデータポイント(ID、役割、デバイス、ネットワークとポートの範囲など)に基づいてアクセスが決定される、よりきめ細かいゼロトラストアーキテクチャと比較してください。サービスごとに認証を行う必要があるため、誤ったアクセスの試みがより迅速に浮き彫りになり、悪質な行為を行う前にブロックすることができます。

分散された放送スタッフのための決定ポイント

セキュリティは別として、VPNは、高度に分散された放送局の従業員と、コラボレーションが必要なすべてのフリーランサー、請負業者、およびパートナーを管理するのに十分なほど洗練されているとは限りません。帯域幅は、リモート作業用のVPNで問題になる可能性があります。メディア資産管理およびコラボレーションツールはワークフロー効率を向上させましたが、より多くの帯域幅の必要性も生み出しています。VPNを介してすべてのトラフィックをサポートしている場合、コストが上昇する可能性があります。VPNのセキュリティを強化する1つの方法は、会社が提供するデバイスのみにアクセスを許可することです。ただし、BYODポリシーに慣れている場合は、ラップトップやスマートフォンを提供することは高額になる可能性があります。 一方、VPNは短期的には必要になる可能性があります。特に、リモート作業のために既存のインフラストラクチャを迅速に拡張する手段が必要な場合はそうです。VPNを介してセキュリティを維持する最大の利点は、おそらくすでに1つ以上を使用していることです。

ゼロトラストジャーニー

ゼロトラストの実装には時間がかかります。VPNのようなテクノロジーではありません。これは、アーキテクチャの変更を必要とするモデルです。ITインフラストラクチャ、資産、およびビジネスワークフローを計画する別の方法です。移行を行うには、すべてのソフトウェア、ハードウェア、およびSaaSベンダーとの調整が必要です。

しかし、遠隔地での放送が当たり前になった今、ゼロトラストを実現するために、インフラやワークフローをすべて捨てなければならないわけではありません。ゼロトラストセキュリティ体制に役立つものの多くは、組織ですでに使用されている可能性があります。ゼロトラストのセキュリティ対策の採用は反復的なプロセスであり、各ステップは前のステップに基づいて構築されます。

1.技術アーキテクチャを調査

最も重要なものは最初のステップです。ユーザー、デバイス、サービス、およびデータ資産の完全な調査で考慮する必要のあるコアビジネス資産を検討します。ゼロトラストモデルでは、資産とは何か、それぞれに適用する必要のあるセキュリティの側面を知ることが重要です。

2.IDポリシーを定義します

これらのアセットについて、誰がアクセスできるか、そしてどのようにしてその人が本人であることを確認するかを定義します。これは単なるユーザー名とパスワード以上のものです。フレンドリーなデバイスをどのように識別しますか?フリーランサーや個人所有のデバイスについてはどうですか?API呼び出しを行うアプリケーションとサービスはどうですか?ここでの目標は、IDと認証のポリシーを作成することです。アクセス要求が攻撃ではなく正当であると確信するために、どのデータポイントが必要ですか。

3.良好な行動を定義するための戦略を作成

デバイス、アプリケーション、およびユーザーの行動全体で良好な状態がどのように見えるかを定義します。これには、ネットワーク、デバイス、およびアプリケーションを管理および監視するための制御の実装が含まれる場合があるため、既知の有効なハードウェアおよびソフトウェアを実行していることがわかります。リクエストが正当なソースから発信されているという確信を得るために、あなたが知っていて制御できる要素の組み合わせを使用してください。たとえば、なりすましの可能性がある単純な資格情報やデバイスのMACアドレスだけに依存しないでください。これらを、検証可能な証明書に裏打ちされた暗号化された通信やOAuthなどの拡張認証フレームワークのみを使用するなどの追加の要素と組み合わせます。通常のユーザーとアプリケーションの動作がどのように見えるかを理解して、別のパスを介したリクエストが異常なものとして目立つようにします。

4.体系的かつ反復的に再設計する

これは戦略が実行に道を移されます。反復するたびに、よりきめ細かいレベルのセキュリティを追加します。タマネギの層のような新しいビジネスインフラストラクチャを想像してみてください。各レベルで認証と承認を実装します。ネットワークセグメンテーションと新しいアクセス制御を使用して、横方向の攻撃の可能性を最小限に抑えます。ネットワークを信用するのではなく、すでに侵入されていると仮定して、被害の可能性を減らす必要があります。

5.ネットワーク上の活動を積極的に監視する

侵入されてから気づくのではなく、侵入が差し迫っていると仮定して、被害を抑えることが目的です。ゼロトラスト戦略をサポートするデバイスやアプリケーションを導入し、新しいセキュリティ・インフラストラクチャに統合する。最も標的にされやすいデバイスやサービスに注目し、セキュリティ・インフラストラクチャでは、すべてのアクセス試行の正当性を確信するために必要なだけ、先に特定したデータ・ポイントを使用します。

新しいセキュリティ標準への調整

この新しいセキュリティノーマルには2つの重要な側面があります。まず、ネットワークの境界はもはや有効なセキュリティゲートではありません。ユーザーが会社のリソースや資産にアクセスするために必要な方法の多様性は、このアプローチが現在の作業方法には単純すぎることを意味します。次に、すでに侵害されていると想定します。ゼロトラスト戦略の目標は、攻撃者のそれ以上のアクセスを拒否すると同時に、認証されたユーザの正当なアクセスを許可し、彼らが仕事をできるようにすることです。進化する脅威に対応するためには、このような視点の変更が必要です。

昨年、労働形態が大きく変化したことで、リモートアクセスやセキュリティアプローチの課題が浮き彫りになりました。良いニュースは、ゼロトラストが10年ほど前から証明されていることです。いまだにVPNに頼っている放送局は、考え直す時期に来ているのかもしれません。

お問合わせはこちら

TEL 03-3518-6273
E-mail sales@photron.co.jp

営業時間 9:00~18:00
(土曜・日曜・祝日、当社指定の休業日を除く)

  • このエントリーをはてなブックマークに追加
お見積り・お問合わせ

ショールーム見学、デモのお申込みも
お待ちしております。
TEL03-3518-6273 営業時間 9:00~18:00(平日のみ)

  • フォトロン 公式Instagram
  • フォトロン YouTube公式チャンネル

メールマガジン

製品のリリース情報やフォトロンのセミナー情報など海外メーカーの最新情報をお届けします。

メールマガジンお申込み