Security

Cisco 担当者コラム

Cisco・Security

Security 第91回「Cisco Secure Accessのリモートアクセス機能について」

こんにちは。セキュリティ担当の今村です。

今回はCisco Secure Accessのリモートアクセス機能についてご紹介します。ぜひ最後までご覧ください。

 

■リモートアクセスの種類

CiscoSecure Accessのリモートアクセスでは、「リモートアクセスVPN」と「ZTA(ゼロトラストアクセス)」という方法を提供しています。

リモートアクセスVPNはCisco Secure ClientのAnyConnectモジュールをインストールし、クラウドでVPNを収容する仕組みです。ネットワークレベルでアクセス権限を付与するという従来からよく使われている方法です。

ZTAはVPNを使用せず、管理者があらかじめ指定したサイトやリソースのみへのアクセスを許可する仕組みです。近年、VPNの脆弱性を悪用した攻撃が増加しており、より安全なリモートアクセス方式として脱VPNの需要が高まっています。そのため、何も信用しないという前提にもとづいたゼロトラストモデルを採用しているZTAは、セキュリティ強化の観点から注目されています。

ただし、利用するアプリケーションなどを事前に定義する必要がありますので、社内調整を伴い、ZTAの導入には時間を要します。

一方、Cisco Secure AccessではリモートアクセスVPNとZTAをハイブリッドで利用できるため、既存のVPN環境を維持しながらZTAを試験的に導入し、段階的にゼロトラストモデルへ移行できるといった強みがあります。

 

■ZTAの種類

ZTAには、「ブラウザベースZTA」と「クライアントベースZTA」の2種類があります。

ブラウザベースZTAは、社内アプリケーションへのWebアクセスを提供します。Cisco Secure ClientのZTAモジュールをインストールする必要がないため、BYODや外部委託先など管理外の端末でも利用でき、外部パートナーの一時的なアクセスや、モジュールのインストールが難しい端末に適しています。

一方、クライアントベースZTAでは、Cisco Secure ClientのZTAモジュールをインストールし、管理者があらかじめ指定したアプリケーションへのプライベートアクセスを提供します。ブラウザベースZTAのように毎回ブラウザで認証する必要がなく、RDPやSSHといったWeb以外のプロトコルにも対応しているため、幅広い用途に適しています。

それぞれのメリットとデメリットを表にまとめると以下のようになります。それぞれ利用環境やセキュリティ要件に応じて最適な方式をご選択いただくことをおすすめします。

■リソースコネクタ

リモートユーザーが、社内のアプリケーションなどのプライベートリソースにアクセスするためには、Cisco Secure Accessと社内環境を接続する必要があります。リモートアクセスVPNでは、社内環境にVPN機能を備えたネットワーク機器を設置し、IPsecトンネルで接続します。

一方、ZTAではIPsecトンネルに加えて「リソースコネクタ」と呼ばれる軽量な仮想マシンを利用できます。

リソースコネクタは社内環境にインストールするだけで簡単に導入でき、追加のライセンス費用は発生しません。また、冗長化のために複数台構築することも可能です。

 

■まとめ

今回は、Cisco Secure Accessのリモートアクセス機能についてご紹介しました。VPNとZTAをハイブリッドで利用できるため、既存のVPN環境を活かしながらゼロトラストモデルへの移行を検討されている方や、セキュリティ強化と運用の柔軟性を両立させたい方に最適なソリューションです。最後までご覧いただきありがとうございました。

<<<Cisco Security エンジニア情報局 前回の記事>

カタログDL等、iDATEN(韋駄天)ログインが必要なコンテンツがございます。
必要に応じて、ログインしてご利用ください。
iDATEN(韋駄天)のご利用に関してご不明点があるお客様は こちら をお読みください。

Ciscoの記事