【ウェビナーレポート】自治体のリモートアクセスを「ゼロトラスト」で最適化！既存VPNの課題を解決する新手法とは

働き方改革の推進や、2030年に向けた「ゼロトラスト・アーキテクチャ」への移行という方針の中で、自治体のネットワーク環境は大きな転換点を迎えています。特に、これまで広く使われてきた「SSL VPN」を中心としたリモートアクセス環境には、運用とセキュリティの両面で限界が見え始めています。

既存VPNが抱える「3つの深刻な問題」

自治体では、コロナ禍などで導入が進んだSSL VPNを活用していることがありますが、SSL VPNによるリモートアクセスは、近年主に以下の3つの課題が顕在化しています。

① 深刻なセキュリティリスクと「水平移動」の脅威

従来のSSL VPNは、一度認証を通過して接続が確立されると、庁内ネットワーク全体にアクセスが可能になる傾向があります。これにより、万が一持ち出し端末などがマルウェアに感染した場合、そこを起点として庁内全体に被害が広がる「水平移動」のリスクがあります。また、SSL VPN機器そのものに致命的な脆弱性が発見されるケースも多く、昨今のランサムウェア被害の多くがここから始まっているという実態があります。

②通信のボトルネックとスケーラビリティ不足

SSL VPNは全通信が特定の機器に集中するため、利用者の増加に伴いセッション処理能力が限界に達し、通信速度の低下やライセンス不足が発生します。急なテレワーク需要の拡大に対して、ハードウェアベースの構成では柔軟な拡張が難しいという点も大きな課題です。

③クラウド利用への不適合(バックホール問題)

リモート端末からMicrosoft 365などのクラウドサービス(SaaS)を利用する際、わざわざSSL VPN経由で庁内のネットワークを経由してからインターネットへ出る「バックホール構成」になりがちです。これが通信経路の遠回りを生み、遅延の原因となるとともに、庁内回線の帯域を圧迫してしまいます。

A10が推奨する「次世代リモートアクセス」の3つの形態

A10ネットワークスは、これらの問題を根本から解決するため、業務内容やアプリの性質に応じた3つのリモートアクセス手法を提唱しています。

形態A：ZTNA(ウェブアプリ特化型)

業務アプリがブラウザで利用可能なウェブサービス形式の場合に最適です。利用者は特定のアプリにのみアクセスし、認証・認可を厳格に行うことで、庁内ネットワーク全体への不要なアクセスを遮断(水平移動を防止)します。

形態B：IPsec VPN(ファイルサーバー・非ウェブアプリ型)

ウェブ化されていないシステムやファイルサーバーを利用する場合に、脆弱性が比較的少ないとされるIPsec VPNを用います。庁内からクラウド側へ「外向き」にトンネルを張る構成をとることで、インターネット上に攻撃の窓口(待ち受けポート)を公開せずに接続できるのが大きなメリットです。

形態C：【推奨】ハイブリッド構成

通信経路をIPsec VPNで暗号化した上で、さらにアプリケーションレイヤーで認証を行う「二重の防御」です。経路の安全性とアプリケーション利用の妥当性を両立させる、最も堅牢なゼロトラスト・モデルです。

これらを実現する基盤「A10 Cloud Access Controller」

これらの高度なリモートアクセス形態を、ハードウェアの導入なしにクラウドサービスとして実現するのが、A10 Cloud Access Controllerです。

A10 Cloud Access Controllerは、大規模トラフィック処理に定評のあるA10の独自技術を、インターネット上の安全な場所から提供するネットワークサービスです。どこからでもシンプルに利用でき、特定のユーザーや拠点からの通信に対して、高度な制御とセキュリティを適用します。

A10 Cloud Access Controllerの主要機能

A10 Cloud Access Controllerには、自治体の安全なクラウド利用とリモートワークを支える強力な機能が備わっています。

• リバースプロキシ機能(ゼロトラストの核)：庁内の業務アプリの手前で通信を受け付け、ID管理基盤と連携して「正しいユーザーか」「許可された端末か」を厳格に判定します。許可された通信のみをアプリへ通すことで、安全な公開を可能にします。
• フォワードプロキシ機能(出口対策)： ユーザーからインターネットへの通信を制御します。有害サイトへのアクセスを防ぐ「URLフィルタリング」や、組織用アカウント以外でのSaaS利用を禁止する「テナント制限」により、個人アカウント経由の情報漏洩を未然に防ぎます。
• IPsec VPN接続機能： 庁内拠点やリモート端末との間で、暗号化された安全な専用経路を構築します。従来のSSL VPNとは異なり、攻撃を受けにくい安全な接続口として機能します。
• 固定IPアドレスの標準提供：各自治体(テナント)ごとに固定のグローバルIPアドレスが提供されます。これにより、接続先のクラウドサービスや庁内サーバー側で、接続元を制限するセキュリティ設定が容易になります。

Q&A

ウェビナーにて、参加者から寄せられた主要な質問への回答をまとめました。

Q1. A10 Cloud Access Controllerは「SASE」とは異なるものなのでしょうか？

A10 Cloud Access Controllerは厳密な定義上の「SASE」や「SSE」の全ての機能を備えているわけではありません。しかし、ネットワークサービスとして、SASEが提供するような主要な機能を利用できるため、実質的には同様にご活用いただけます。また、機能を絞っている分、フル機能のSASEよりもコストパフォーマンスが良いという利点があります。

Q2. 既存のVPNをA10 Cloud Access Controllerに置き換えるメリットを教えてください。

脆弱性対応やリソース拡張の手間から解放されるだけでなく、「庁内ネットワークをインターネットに直接開放せずに済む」ことが最大のメリットです。リバースプロキシの設置によりアクセスできるアプリを制限し、認証・認可を厳格化することで、「ゼロトラスト環境」により近づけることができます。

Q3. A10 Cloud Access Controllerを、競合・類似サービス(他社SASEやキャリアVPN)と比較した際の強みは何ですか？

主に以下の3点です。

• ライセンス体系：全クライアント分を契約する必要がなく、最大同時接続数に応じた契約が可能なため、コストを抑えられます。
• 固定IPアドレス：テナントごとに固定のグローバルIPアドレスを容易に提供できるため、接続先での制限がかけやすいです。
• 高度なADC機能：ロードバランサー(ADC)としての高度な制御機能を、単なる認証・認可だけでなく併せて利用できます。

Q4. SASEより機能が限定されているとのことですが、自治体のゼロトラスト要件には十分なのでしょうか？

はい。A10 Cloud Access Controllerは自治体にとって必要十分な機能に絞って提供することが可能です。例えば、既にローカルブレイクアウト等でA10 Thunderを導入済みであれば、それを活かして庁内からIPsecトンネルを張るための無償ライセンスを追加するだけで済むなど、費用を抑えつつ導入しやすい点もメリットです。

まとめ

従来の「境界防御」に基づくVPNには限界が来ています。A10の「Cloud Access Controller」を活用すれば、既存の資産を活かしつつ、攻撃の窓口を最小化し、特定のアプリだけに安全にアクセスさせる「自治体型ゼロトラスト」への第一歩を確実に踏み出すことができます。 「安全」と「快適」を両立した新しいネットワーク環境への移行を、検討してみてはいかがでしょうか。