FWとVPNを一体化させる利点・欠点（UTM）

• ファイアウォールにVPN機能を組み込むことは、一見便利ですが問題もあります。
• ファイアウォールとVPNを分けて、それぞれに特化したシステムを使った方が管理しやすいことも多いのです。
• 特に、大規模な組織やクラウドサービスを主に使う場合、UTM（統合脅威管理）は適していません。

「Keep It Simple and Stupid」ということかぁ。

外部から社内システムにリモートアクセスするより、直接クラウドサービスを利用するようにした方が安全なんだね。

1. FWにVPNを組み込む運用とは？

「FWでVPNを使わない方がいい¹」って聞いたんだけど、どういうこと？

VPNを使った方が安全なんじゃないの？

ここで問題になっているのは、
「FWとVPNという本来は違う機能をひとまとめにすること」
についての是非です。

「ファイアウォール（FW）」も「インターネットVPN」も、ネットワークセキュリティに関係していますが、方向性は異なります。

既存の「ファイアウォール（FW）」に「インターネットVPN」の機能を組み込むのは、ネットワークセキュリティ（安全性）とリモートアクセス（利便性）を一元的に管理するためです。

FWで外部からの不正なアクセスから社内ネットワークを保護すると同時に、VPNでリモートワーカーからの安全なアクセスを提供することができるからです。

1-1. FWにVPNを組み込んだ経緯

FWにVPNを組み込むようになったのは、通信技術の進歩とともにネットワークセキュリティとリモートアクセスに対するニーズが高まってきたことと密接に関連しています。

そのニーズに対応するため、ファイアウォール、VPN、その他のセキュリティ機能を単一のデバイスに統合した「UTM（Unified Threat Management：統合脅威管理）」という手法が生まれました。

つまり、「FWにVPNを組み込む」ことは、UTMを利用することと同じ意味合いを持ちます。

1. インターネットの普及（1990年代）
   1990年代にインターネットが普及し始めると、企業はインターネットを介して社内ネットワークにアクセスする必要性が高まりました。
   当初、専用線を使用していましたが、コストが高く柔軟性に欠けていました。
2. VPNの登場（1990年代後半）
   1990年代後半、VPNの概念が登場しました。
   VPNを使用することで、インターネット上に安全な通信トンネルを作成し、リモートアクセスを実現できるようになりました。
3. ファイアウォールの進化（2000年代初頭）
   2000年代初頭、ファイアウォールは、単なるパケットフィルタリングから、より高度な機能を備えたステートフルインスペクションファイアウォールへと進化しました。
4. UTMの登場（2000年代中頃）
   2000年代中頃、UTM（Unified Threat Management）の概念が登場しました。
   UTMは、ファイアウォール、VPN、アンチウイルス、侵入防止システム（IPS）などの複数のセキュリティ機能を単一のデバイスに統合したものです。
5. FWでのVPN使用の普及（2000年代後半）
   多くの企業がネットワークセキュリティとリモートアクセスを一元的に管理するために、ファイアウォールにVPN機能を組み込むようになりました。

2. FWにVPNを組み込む問題点

ファイアウォールにVPN機能を組み込めば、一見便利で効率的に見えます。
しかし、実際には複雑性が増し、かえって運用やメンテナンスが難しくなる問題点も表面化してきました。

1. クラウドサービスの普及と新たな課題（2010年代）
   2010年代に入ると、クラウドサービスの普及により、ネットワークのセキュリティ要件が大きく変化しました。
   クラウドサービスを利用する際、従来のFWでのVPN使用では、十分な柔軟性とスケーラビリティを提供できない場合があります。
2. ゼロトラストセキュリティモデルの台頭（2010年代後半）
   2010年代後半、ゼロトラストセキュリティモデルが注目を集めるようになりました。
   このモデルでは、ネットワークの境界に関係なく、すべてのアクセスを検証し、制御します。
   これにより、従来のFWでのVPN使用の限界が明らかになってきました。

最近のセキュリティトレンドと運用の観点からは、ファイアウォールでVPNを使用することには、いくつかの重要な懸念事項があるのです。

2-1. UTMは小規模向けだがクラウドには不適

UTMは、中小企業のシンプルな社内ネットワークでは有効です。
しかし、大規模な組織やクラウドサービスをメインに利用する場合には、あまり効果的ではないからです。

FWでのVPN使用から、より柔軟で拡張性の高いソリューションへの移行を検討する組織も出てきています。

クラウドサービスは、中小企業でも利用が当たり前になっているよね。

2-2. 代替アプローチ

FW、VPNの方法の本質的な問題点は、「信頼できるユーザー」と「そうでないユーザー」を区別することです。
一度、信頼が確立してしまうと内部ネットワークで（比較的）自由にアクセスできてしまうからです。

そのため、管理の行き届いていないVPNが、不正アクセスの被害を大きくしてしまうことがあります。
とくに、ファイアウォールとVPNが一体化していると管理が複雑だからです。

2-3. ゼロトラストとSASE（Secure Access Service Edge）

そもそも「信頼できるユーザー」を区別せず、個別のデータごとにアクセスの認証をする「ゼロトラストセキュリティモデル」が注目されています。

企業システムでは、有力なのがクラウドベースのセキュリティモデルである SASE（Secure Access Service Edge）です。

社内システム・ネットワークを構築してVPNでアクセスするのではなく、クラウドベースのサービスに移行してすべてのアクセスを個別に認証するようにするのです。

ちなみに、Google Documentは、SASEの原則やコンセプトを部分的には具体化したサービスですが、完全なSASEソリューションとは言えません。
Google Documentは文書作成と共同編集に特化したサービスであり、ネットワークセキュリティ、ファイアウォール、VPN、CASBなどの機能は提供していないからです。

こちらもどうぞ。

個人用OneDriveと仕事用OneDriveを共存させる

OneDriveのタスクトレイアイコンが白い場合と青い場合があるのはどうして？ タスクトレイのOneDriveアイコンには 2種類あります。OneDriveのアイコンの色は、現在アクティブなアカウントの種類を表しています。 白いアイコンは、個人用OneDriveアカウント 青いアイコンは、OneDrive for Businessアカウント OneDriveアプリの設定で、個人のMicrosoftアカウントでサインインすると白いアイコンが表示され、組織から提供されたアカウント...

chiilabo.com

「仮想」と「virtual」

日本語の「仮想」という言葉には、2通りの意味合いがあります。 一般的には「そこにはない」というネガティブなイメージで使われることが多いですが、IT用語の「仮想」は「実質的にそこにある」というポジティブな意味が強いです。 「仮想」という言葉から連想するのが、「空想」とか「かりそめ」とか「想像上」みたいな感じなんだよね。そっちにイメージが引っ張られるなぁ。 言葉の意味の多様さを感じさせる事例と言えますね。 「仮想」の2つの捉え方 スマホやパソコンにまつわる「仮想」という言葉は多く...

chiilabo.com

「インターネットVPN」とは？（IPsec）

「インターネットVPN」は、インターネット通信を暗号化するための仕組みです。 ざっくり言うと、公衆 Wi-Fi からインターネットにアクセスするときに、途中経路で情報漏えいすることを防ぎます。 「テレワーク」で、社外から社内システムにアクセスするときには、通信の暗号化が必要になります。 インターネットは「開かれた通信網」 「VPN」っていう言葉を見かけるんだけど、なんなのかな？インターネットのセキュリティで、必要みたいなんだけど……。 もともとインターネットは、不特定多数のユ...

chiilabo.com

「Google接続サービス」アプリって何をしているの？【Googleの公衆Wi-FiとVPN】

「Google接続サービス」は、「GoogleのフリーWi-Fi」でセキュリティ保護された通信（VPN）ができるようにするアプリです。 海外（特に米国）では有用な機能のようです。しかし、Googleは日本国内では まだフリーWi-Fiを提供していないので利用できません。 PixelやNexusなど「Google製」のスマホ・タブレットにインストールされています。 キーワードは「VPN」。 「Google接続サービス」は、ちょうど au の「au Wi-Fiアクセス」アプリに似...

chiilabo.com

1. ごごてぃさん: 「FWでVPN使うのはもうやめたほうがいい気がする。 / X

QRコードを読み込むと、関連記事を確認できます。