脱VPNした、とある企業の物語。そして物語は続く
本記事は 個人ブログで読みやすく修正、追記した形で公開していますので、こちらを読んでいただくことをおすすめします。
さよなら、VPN
VPNをなくしたい!そんな思いを持つ情シス / コーポレートエンジニアに本記事を捧げます。
この記事ではVPNの現状と課題、そして解決(脱VPN)までの物語を語ります。
※
本当にごく一部のみ、まだVPNは残しております。そして実際に脱VPNできたのはセキュリティのアドバイザーや、切り替えに際してプロダクトの設定変更を担当していただいたプロダクトサイドのインフラエンジニア、CTOなど、多くの関係者のおかげです。
現状と課題
弊社ではオフィスのグローバルIPアドレスでアクセス制限をかける社内向けWebサービスが存在します。主にCSなどが使用するプロダクトの管理サービスです。
今まで弊社オフィスにVPN接続して、そこから各業務管理サービスに接続するという、ごく普通の方式をとっていました。
そんなVPNですが、私が入社してから使用者が増え続け、ついにVPNシステムを24時間365日稼働しないといけなくなりました。止まったらCS業務へ影響がでます。
情シスは僕1人しかいなくて、24時間365日ずっとお守りをするのはイヤだ!そうこれが課題、というか変えたい、という強いモチベーションになりました。
事実、課題として
1. コスト構造の問題 → 使用者が増えるとコストが増える構造
2. セキュリティの問題 → VPNそのものの脆弱性
3. 拡張性の問題 → 同時接続数やネットワーク機器の処理能力
4. ユーザビリティ / 生産性の問題 → ツールを使うためにVPN接続が必要
がありました。
背景
プロダクトの管理サービスでなぜグローバルIPアドレスによるアクセス制限をかけていたのか?このWebサービスからプロダクトのデータが閲覧できました。よってこれは守るべきデータです。よってセキュアにするためにグローバルIPアドレスによるアクセス制限を行ったという話でした。
つまり、一定のセキュリティ対策がされていれば、グローバルIPアドレスによるアクセス制限やVPNを使わなくてもよい、ということになります。
VPN使わないなら、どんな方法があるのか
世はゼロトラスト時代。いろんな会社のいろんな情シスがVPN辞めたいとおっしゃってる。でも、実際にVPNを〇〇に置き換えて、辞めたよって事例はあまり聞かない(僕の情報収集不足かもだけど)
んで、ゼロベースで代替の選択肢を考えてみた。要は固定IPにおけるセキュリティ対策の有効性すら疑い、他のセキュリティ対策を行うことで、ちゃんとしたセキュリティ対策になるなら、固定IPやめよう(つまりVPNやめる)っていう考え方。(固定IPは認証ではない。あいまいに場所を限定するだけの施策)
その上で下記のような施策が出てきた。
1. Azure ADアプリケーションプロキシ
2. Netskope Private Accessなどを使う
3. 業務管理サービスの認証をAzure ADにして2要素認証をする or SAML SSOする
最初に良さげだなって思ったのは案1のAzure ADアプリケーションプロキシ。現在、組織内のID管理にはAzure ADを使っているのでWindows Server 1台追加すれば行ける。懸念はWindows Serverの運用とユーザサイドのパフォーマンス。
※
Azure ADを導入した当時は案3を取りたいなーと考えていた。しかし、業務管理サービスを改善する人的リソースがなく、中々、実行には至っていなかった。
しかし、ここで出てきたのが第4案。業務管理サービスがAWS上で稼働しているので、ALB(Application Load Balancer)でOpenID Connectを使ってAzure ADで認証をかけられるのでは、と。しかも変更に大きなコストもかからない。これをすると、業務管理ツールにアクセスする前に認証を必要とする構成になる。
これは、案1を超える解決策やん!
そして、もともとの課題がどう解決するのかというと、
1. コスト構造の問題 → コスト下がる、かつ基本コスト増えない。
2. セキュリティの問題 → 2段階認証。アクセス前の認証。
3. 拡張性の問題 → ネットワーク機器との関連がなくなる
4. ユーザビリティ / 生産性の問題 → 普通にブラウザアクセスするだけ
となりました。
そして、僕の心の平和。プライスレス。
脱VPNした結果
ほんの一部だけ、VPNは残っていますが、ほぼVPNはなくなりました。今後、VPN利用者が増えることはないです。
脱VPNしてから、システムを1人で24時間365日稼働させなきゃとか、ネットワーク機器のリソース気にしなきゃ、、というヒリヒリしたプレッシャーはなくなりました。
業務管理サービス使いたいよーって言われて、いつもアカウントをVPNで使えるように設定変更して、デバイスにVPN設定するために、Self ServiceからXXをポチっとしてね、って言ってましたが、もうそんな運用も必要ありません。
そして、弊社はまた1つ物理から脱却できたのです。これは大きい。
最後に
弊社ではこのように組織や業務の課題を見つけて、それに対して(できるだけ)スマートに解決するということを目指しています。
ここでいうスマートに解決とは、生産性 / ユーザビリティとセキュリティが両立する形で解決していくということ。今後も課題を発見し、スマートに解決していく物語は続いていきます。
よって、一緒に組織課題を見つけてスマートに解決していく仲間を募集してます。これらに面白みを感じる方、興味ある方、ぜひ気軽にDMください
この記事が気に入ったらサポートをしてみませんか?