EAAは、Enterprise Connectorを使って社内のリソースにアクセスすることも可能であることから、既存のVPNを置き換えるソリューションとなり得ます。実際、SSLやIPsecを用いたVPNから、EAAに移行した企業は少なくないといいます。

　既存のVPNをEAAに置き換えた一例として、株式会社エイチ・アイ・エス（H.I.S.）のケースがあります。

「国内外に多くの拠点を有しているH.I.S.は、拠点ごとのネットワーク環境構築に課題を抱えていました。安定したセキュアなネットワークが必須だと考えていましたが、VPNの導入は国によってコストが非常に高額になってしまうこともあり、ユーザー数の少ない小規模拠点への導入への障害となっていました。またVPNに代わりうる多くの既存製品も手間やコストを要するものが多く、なかなか簡単にはスタートできない印象でした。

　一方で、アカマイのEAAが低コストで簡単、すぐにスタートできることを知った同社は、管理コストの低減に加えて、国ごとに異なるネットワークサービスへの柔軟な対応、そして業務の効率化が期待できることから、EAAの導入を決めました。」

　EAAであれば、VPNに対応したルーターなどの機器を用意する必要がなく、パソコンからWebブラウザで接続が可能です。接続を受ける側もLAN上でEnterprise Connectorを導入するだけであり、容易にセキュアな環境を整えられることも大きなメリットでしょう。

従来技術の組み合わせでは複雑化するICT基盤の運用は困難

　VPNを用いた拠点間接続やリモートアクセスよりも、セキュリティ強化が図れることもEAAの大きなメリットとなっています。

　従来のVPNでは、ネットワークレベルで接続するため、同一セグメントにあるすべてのサーバーにアクセスできてしまいます。もちろん、IPアドレスやポート番号で、利用できるアプリケーションを制限することは可能ですが、設定が煩雑になるといった課題があります。

　一方、EAAは、アプリケーション単位で制御が可能になります。そのため、ネットワークセグメントが同じであっても、権限が与えられていないアプリケーションにアクセスすることはできません。

「EAAは『ID認識型プロキシ』（Identity Aware Proxy）と呼ばれるアーキテクチャを採用しており、クライアントとサーバーが直接通信するのではなく、プロキシとして通信を仲介する構成になっています。

　このためユーザーは、アクセスしているサーバーのIPアドレスを知ることができません。攻撃者がセグメント内の別のサーバーにアクセスできてしまう、いわゆる『ラテラルムーブメント』の悪用も制限できます」（金子氏）

　なおEAAはVPNとの置き換えだけでなく、VPNとの「併用」も可能です。たとえば、業務上、社内と同様にサーバーへアクセスする必要があるシステム管理者は、インターネットVPNを使用し、一般のユーザーはEAAを利用するように、リモートアクセスが使い分けられます。

　このEAAの魅力は、セキュリティ強化を図りつつ、同時にリモートアクセス環境を容易に構築できる点にあります。SSL-VPNなどを利用したリモートアクセス環境のリプレースを検討している場合、あるいは特に海外拠点や海外出張から気軽に利用できる環境を整えたい場合には、EAAは有効なソリューションとなるでしょう。

※掲載されている内容は公開日時点のものです。
※掲載されているサービスの名称、内容及び条件は、改善などのために予告なく変更することがあります。