【Netskope】SSL-VPNからの移行を検討中のあなたに読んでいただきたいブログ

» Netskope » 技術
tommy tommy

はじめに

こんにちは、セキュリティを気にする年頃の ネクストモード株式会社 のtommyです

ネクストモードでは社内システムとして利用しているSaaSやWebへのアクセスにおいて、Netskopeを経由する構成を取り、通信の可視化や制御を行っています

今回はSSL-VPNからの移行をご検討の方向けにネクストモードで利用しているNetskopeの紹介をしていきます

SSL-VPNから移行する意味とは

タイトルにもあるように、なぜSSL-VPNから移行しなければいけないのでしょうか。最近聞く理由で多いのは、「FortinetでSSL-VPNがサポートされなくなるから」です。業界でもユーザーが多い会社からの発表は一時期とても大きな話題になりました。発表されたのは昨年ですが、弊社には駆け込み需要か問い合わせが多くなっており、記事にしております。

では、なぜFortinetがSSL-VPNを廃止するのでしょうか。理由はいくつか考えられます

脆弱性が多発したため

SSL-VPNはインターネットに直接公開される“入口”です。そのため、脆弱性が見つかると即座に攻撃対象になります

例えば、FortiOS の SSL-VPN ではCVE-2024-21762(リモートコード実行) が公表され、
独立行政法人情報処理推進機構(IPA)も注意喚起を出しました

SSL-VPNが公的機関から推奨されなくなったため

米国では、NSA(米国国家安全保障局)とCISA(米国サイバーセキュリティ・社会基盤安全保障庁)から、連名で発表された「Selecting and Hardening Remote Access VPN Solutions」というものがあります。この中では、VPNの考慮事項としてIPSec-VPNが推奨されています

ゼロトラストの提唱があったため

ゼロトラストは、資産やユーザーアカウントに対して、その物理的位置やネットワーク上の場所だけを理由に暗黙の信頼を与えないという前提に立つものです。ゼロトラストは、内部ネットワークにアクセスした後は信頼するというVPNの考え方とは異なります。ゼロトラスト化を進行する企業にとってはVPNは移行先を探さざるを得ない機能と言えるでしょう

SSL-VPNから移行するユーザーが増加する中で、なぜ弊社はNetskopeを推奨するのでしょうか

Netskopeとは

Netskopeとは、クラウドサービスの使用時に生じる情報漏洩のリスクや、外部の第三者による不正アクセス、マルウェアの感染といった脅威から機密情報を守り、SaaS環境のセキュリティを強化することができるSASEソリューションです

Netskopeでは暗黙の信頼がなく、通信を可視化することが可能です。また、ネットワークとセキュリティに関わる機能を備えているため、VPNやUTM、FW、CASB/SWG/DLP機能を持つ製品からのリプレース先になります

また推奨する理由として、弊社が利用していて使いやすい製品であるというのも大きいと言えます

詳細は下記を御覧ください

 

Netskopeで実施するSSL-VPNの移行先

大きく分けると、2つの方法があります

①NPAを利用する

②Endpoint SD-WAN(Netskope Private Optimized Access)を利用する

下記は執筆時点での情報になります、詳細は弊社までお問い合わせください

①NPAを利用する

〇概要

NPAはNetskope Private Accessと呼ばれるサービスで、NetskopeのZTNA機能です。設定自体は、ユーザーとアクセス先をNetskopeに登録/許可設定し、アクセスが可能になるというものです

〇使い方

Netskopeは明示的にオフにしない限りはPC起動時オンになっているため、許可設定がされていれば、ユーザーはClientの起動等必要なく、接続が可能です。管理者は誰が、いつ、どこに通信をしたか(NPAを利用したか)がログで可視化可能です

〇メリット

  • 設定が容易である
  • 通信の可視化が可能
  • 全ポート/プロトコルに対応している
  • 中継サーバー(Publisher)を社内ネットワーク内に置くことができ、インバウンド通信の許可が不要なため、ゲートウェイを狙った攻撃に合うリスクが減る

〇注意点

  • サーバー発の通信には対応していない

  • IPv6のみを使った通信等、通信状況により対応していないケースが存在する

詳細は下記をご覧ください

Netskope Private Accessとは?NPAの概要をざっくり解説してみた

Netskope Private AccessでVPNを使わずにプライベートアプリへアクセスしてみた

②Endpoint SD-WAN(Netskope Private Optimized Access)を利用する

〇概要

Endpoint SD-WANはVPNの代替ソリューションとして登場し、①のNPAでは対応していなかったサーバー発の通信にも対応しており、双方向通信が可能な機能です。VPNからの代替として注目されている機能となっています

〇使い方

仮想、もしくは実機のゲートウェイを設定し、アクセス先等を設定します。イメージとしては、①NPAを利用するの使い方と同じです

〇メリット

  •  VPN ライクな運用が可能 
    •  リモート環境を社内拠点と同じ設計で利用可能 になります
  •  閉域網の撤廃 
    •  ZTNAでは巻き取れない通信(双方向通信)をSD-WAN側で拾うことが可能 

〇注意点

  • IPプールや、社内DNS、FWなど、NW設計の考慮が必要 
  •  IPv6のみを使った通信等、通信状況により対応していないケースが存在する 

詳細は下記をご覧ください

公式資料

SSL-VPNからの移行に関して、少しでも本ブログが役に立てば幸いです

さいごに

いかがでしたでしょうか。SSL-VPNからの移行先の候補として検討に挙げていただくことが多いため本ブログを書いてみました。IPSec VPNへ移行される方も多いかと思いますが、それ以外の選択肢として、Netskopeを検討いただけると幸いです。詳細に関して、気になる方は弊社までお問合せください

SaaSバナー_Netskope