【ITニュース解説】VPN不要のアクセス制御へ Akamaiがたどり着いた「ゼロトラスト」の本質
2025年09月11日に「TechTargetジャパン」が公開したITニュース「VPN不要のアクセス制御へ Akamaiがたどり着いた「ゼロトラスト」の本質」について初心者にもわかりやすく解説しています。
ITニュース概要
Akamaiはサイバー攻撃を機に、IT環境を安全にする「ゼロトラスト」を導入した。試行錯誤の結果、VPNなしで安全に社内システムへアクセスできる仕組みを実現。これは、段階的な導入と柔軟な発想が重要であることを示している。
ITニュース解説
サイバー攻撃が日々高度化する現代において、企業のセキュリティ対策は常に進化を求められている。インターネットが普及し、場所を選ばずに仕事をするリモートワークが当たり前になった今、従来のセキュリティ対策では守りきれない場面が増えている。このような背景の中、世界的なコンテンツデリバリーネットワーク(CDN)サービスを提供するAkamai Technologiesが、サイバー攻撃の被害をきっかけに、新たなセキュリティモデルである「ゼロトラスト」を導入し、VPNに頼らないアクセス制御を実現するまでの道のりは、これからのシステムエンジニアにとって大いに参考になるだろう。
従来の企業のセキュリティ対策の多くは、「境界防御」と呼ばれる考え方に基づいていた。これは、会社のネットワークの内側は安全で、外側は危険であるとみなし、外部からの侵入を防ぐためにファイアウォールやVPN(Virtual Private Network)といった技術で「境界線」を築くアプローチである。VPNは、インターネット上に仮想的な専用回線を作り、リモートで働く社員が安全に社内ネットワークにアクセスできるようにする技術として広く利用されてきた。しかし、この境界防御にはいくつかの課題がある。一度VPNを介して社内ネットワークにアクセスが許可されてしまうと、そのユーザーは社内のさまざまなシステムに自由にアクセスできてしまう。もし、そのユーザーのアカウントが乗っ取られたり、デバイスがマルウェアに感染したりした場合、攻撃者はVPNを突破して社内ネットワーク全体にアクセスし、甚大な被害をもたらす可能性があるのだ。Akamaiもまた、コロナ禍でのリモートワークの急増に伴い、VPNへの負荷が増大し、その限界を感じていた。
このような状況を打破するために注目されたのが「ゼロトラスト」である。ゼロトラストとは、「何も信頼せず、すべてを検証する」というセキュリティの考え方だ。従来の境界防御が「信頼できる内部ネットワーク」と「信頼できない外部ネットワーク」を分けるのに対し、ゼロトラストはネットワークの内部であろうと外部であろうと、全てのアクセス要求に対して信頼せず、常に認証と認可を行う。Akamaiもこのゼロトラストの導入に乗り出したが、初期の段階では試行錯誤を繰り返した。当初は「全てのユーザーを疑い、アクセスを極端に制限する」という解釈に陥りがちで、セキュリティは強化されたものの、従業員の業務効率が著しく低下してしまった。これは、ゼロトラストの「本質」を正確に理解していなかったことが原因だった。
Akamaiがたどり着いたゼロトラストの本質は、「VPNの置き換え」ではなく、「セグメント化の自動化」であるという認識だ。つまり、単にVPNを使わないようにするだけでなく、ユーザーやデバイス、アプリケーションといった要素ごとにアクセス範囲を細かく区切り(セグメント化)、それぞれに最小限のアクセス権限を与えることを自動的に実現する考え方である。そして、「すべてのアクセスを信頼しない」のではなく、「すべてのアクセスを検証する」ことが重要だと理解した。ユーザーが誰であるか、どのデバイスを使っているか、デバイスはセキュリティ要件を満たしているか、どのアプリケーションにアクセスしようとしているのか、といった情報を常に検証し、その要求が正当で最小限の範囲内である場合にのみアクセスを許可する。
Akamaiは、このゼロトラストを段階的に導入していった。まず、重要度の低い、影響の小さいシステムや部門から導入を始めた。いきなり全社導入せず、小さな成功体験を積み重ねていくことで、全社展開への道筋をつけた。また、クラウド上で動作するアプリケーションから優先的にゼロトラストの仕組みを適用し、徐々にオンプレミス(自社運用)のシステムにも広げていくというアプローチを取った。これは、クラウドアプリケーションの方がアクセス制御の変更や統合が比較的容易であるためだ。
この段階的な導入の中で、Akamaiは自社の製品であるEnterprise Application Access(EAA)を活用した。EAAは、ユーザーが特定のアプリケーションにアクセスする際に、認証情報を検証し、そのユーザーが必要なアプリケーションにのみアクセスできるように制御するサービスである。これは、VPNのようにネットワーク全体へのアクセスを許可するのではなく、個々のアプリケーションへのきめ細やかなアクセス制御を可能にする。具体的には、ユーザーがアクセスしようとするたびに、多要素認証(MFA)によって本人確認を行い、利用しているデバイスがセキュリティ要件を満たしているかといったデバイスの健全性も評価する。これらの複数の要素を基に、アクセスを許可するかどうかを判断し、仮に許可されたとしても、そのアクセス権限は必要最小限に限定される。
このアプローチにより、AkamaiはVPNを使わずに、セキュアなリモートアクセス環境を構築することに成功した。従業員は、どこからでも安全に業務に必要なアプリケーションにアクセスできるようになり、業務効率を損なうことなく、セキュリティレベルを大幅に向上させることができた。万が一、個人のデバイスが侵害されても、その影響は特定のアプリケーションに限定され、企業ネットワーク全体に広がるリスクを低減できるのだ。
Akamaiの経験は、ゼロトラストが単なる特定の技術の導入に留まらないことを明確に示している。それは、セキュリティに対する根本的な考え方の転換であり、企業文化やプロセス全体を変革するアプローチだ。従来の「信頼できる内側」という固定観念を捨て去り、「常に検証が必要」という前提に立つことで、現代の多様な働き方や複雑化するIT環境に対応できる、より堅牢で柔軟なセキュリティ体制を構築できる。システムエンジニアを目指す皆さんにとって、このゼロトラストの考え方は、これからのシステム設計や運用において非常に重要な指針となるだろう。技術的な知識だけでなく、変化する環境に適応し、柔軟な発想で課題を解決していく姿勢こそが、ゼロトラストの本質を理解し、実践するための鍵となる。