IT用語集
多要素認証(MFA)とは? その重要性や3つの認証要素について解説
テレワークのVPN方式とは?社内接続と認証・端末管理の注意点を解説
目次
VPN方式は、社外のテレワーク端末からオフィスネットワークへVPN接続し、社内ファイルサーバーや業務システムを利用するテレワーク方式です。総務省の「テレワークセキュリティガイドライン(第5版)」では、7種類のテレワーク方式の一つとして整理されています。
この方式の利点は、既存の社内システムを活かしながら、オフィスに近い業務環境を用意しやすいことです。一方で、VPNが主に保護するのは通信経路です。端末に残るデータ、利用者認証、端末認証、アクセス権、ログ、端末紛失時の対応まで自動的に整うわけではありません。IDとパスワードだけでVPN接続を許可せず、多要素認証やデジタル証明書を含めて、利用者と端末を確認する設計が必要です。
ここでは、テレワーク方式の比較で扱った7方式のうち、VPN方式に絞って解説します。テレワーク方式の選び方で候補を絞る前に、VPN方式で何を管理しなければならないのかを確認しておきましょう。
| 向いているケース | 会社支給端末を管理でき、既存の社内システム、社内ファイルサーバー、オンプレミス環境を継続利用したい場合。あわせて、許可端末と利用者を紐づけ、多要素認証や証明書による端末確認を組み合わせられる場合 |
|---|---|
| 慎重に検討するケース | BYODを広く認める場合、端末にデータを残したくない場合、VPN機器や社内回線の運用担当が限られる場合 |
| 主な利点 | 既存資産を使いやすく、社内ネットワークに接続してオフィスに近い業務環境を構成できる |
| 主な弱点 | 端末側のデータ保存、紛失・盗難、マルウェア感染、認証情報の漏えい、端末認証の設計、VPN機器の脆弱性管理が論点になる |
VPN方式とは
VPN方式は、テレワーク端末からオフィスネットワークにVPN接続を行い、オフィスネットワーク内のファイルサーバーや業務システム、必要に応じてクラウドサービスなどへ接続して業務を行う方式です。利用者から見ると、社外にいながら社内ネットワークへ入って作業する形になります。
総務省ガイドラインでは、VPN方式について、テレワーク端末が物理的にオフィス内にある場合と同じように業務を行えること、外部のクラウドサービス等を利用する際にもオフィスネットワーク内のセキュリティ機器を介して接続できること、端末上にデータ保存が可能で通信不安定時にも保存済みデータで作業を続けられることが説明されています。
ただし、この「端末上にデータ保存が可能」という特徴は、利点であると同時に弱点でもあります。端末を紛失した場合、盗難に遭った場合、マルウェアに感染した場合、保存済みの業務データが漏えいする経路になり得ます。VPN方式では、通信経路だけでなく、端末上のデータ管理まで含めて設計します。
VPN方式の基本構成
基本構成は、社外のテレワーク端末、インターネット、VPN機器またはVPNサービス、オフィスネットワーク、社内システムで成り立ちます。端末からVPN接続を開始し、認証を通過した利用者が社内ネットワーク上のシステムを使います。
- テレワーク端末からVPN機器またはVPNサービスへ接続する
- 利用者認証と端末確認を行う
- オフィスネットワークへ接続する
- 社内ファイルサーバー、業務システム、社内Webアプリなどを利用する
- 必要に応じて、オフィス側のセキュリティ機器を経由して外部サービスへ接続する
この構成では、既存の社内ネットワークを活かせます。社内システムを全面的にクラウドへ移行しなくても、対象者や対象業務を絞ってテレワークを始める余地があります。テレワーク導入初期にVPN方式が候補に入りやすい理由はこの点です。
一方で、VPN接続を許可した端末は、社内ネットワークへの接続点になります。許可端末の把握、利用者認証、端末認証、接続先の制限、VPN機器の更新、ログ確認を怠ると、外部から社内へ入る経路そのものがリスクを持ちます。とくに社外から社内ネットワークへ入る構成では、利用者本人の確認だけでなく、会社が許可した端末かどうかを確認する視点が重要です。
VPN方式のメリット
既存の社内資産を活用しやすい
VPN方式の大きな利点は、既存の社内システム、ファイルサーバー、認証基盤、社内Webアプリを活用しやすいことです。オンプレミス環境が多く残る企業では、業務システムを一度に作り替えず、テレワーク対象業務を段階的に広げる選択肢になります。
社内に閉じたシステム、古い業務アプリ、部門ごとのファイル共有が残っている場合、クラウドサービス方式だけでは業務範囲を十分にカバーできないことがあります。そのような環境では、VPN方式が現実的な候補になります。
オフィス業務の再現性が高い
総務省ガイドラインの方式比較では、VPN方式はオフィス業務の再現性が高い方式として整理されています。社内ネットワークに接続するため、オフィスにいるときと近い形で社内システムを使える点が特徴です。
ただし、業務再現性が高いことと、運用が軽いことは同じではありません。社内でしか使っていなかったシステムを社外から使わせる以上、接続元、利用者、端末、データ保存、ログ、問い合わせ対応を見直します。
通信が不安定でも一部作業を継続できる
VPN方式では、端末上にデータを保存して作業する運用を採る場合があります。この構成では、通信回線の帯域不足や一時的な接続不安定があっても、保存済みデータを使って一部の作業を続けられる場合があります。
この点は、画面転送に依存するリモートデスクトップ方式や仮想デスクトップ(VDI)方式との違いです。反対に、端末にデータが残るため、端末暗号化、保存範囲の制限、利用後の削除、紛失時対応が必要です。
VPN方式のデメリット
端末側のデータ管理が重い
VPN方式では、テレワーク端末側でデータ処理を行う運用になりやすく、端末へのデータ保存を制限しにくい場面があります。ダウンロード、一時保存、キャッシュ、ローカルコピー、メール添付、外部記録媒体への保存が発生すると、端末側が情報漏えいの起点になります。
そのため、VPN方式では「VPNでつながるか」よりも、「端末に何を残してよいか」を先に定めます。保存してよいデータ、保存禁止のデータ、一時保存時の暗号化、業務終了後の削除、外部媒体の利用可否を明文化します。
VPN機器や社内回線がボトルネックになりやすい
利用者が増えると、VPN機器、認証基盤、社内回線、社内システムの負荷が表面化します。始業直後、月末処理、オンライン会議、ファイル転送が重なる時間帯には、遅延や接続不安定が起きることがあります。
VPN方式を導入する際は、登録ユーザー数だけでは不十分です。同時接続数、転送データ量、利用アプリ、認証処理、証明書の配布・更新、ログ保存先、障害時の切り分けまで見積もります。製品のカタログ値だけでなく、自社業務の使い方に合わせた余力を見込みます。
VPN機器の脆弱性管理を怠ると攻撃対象になる
VPN機器は社外から接続される機器です。メーカーサポートが終了した製品、更新されていないファームウェア、初期設定のままの管理画面、弱い認証は、不正アクセスの経路になります。総務省の中小企業向け手引きでも、VPN機器等にはメーカーサポート終了製品を使わず、最新のセキュリティアップデートを適用することがチェック項目に含まれています。
導入時の設定で終わらせず、脆弱性情報の確認、アップデート手順、作業担当、緊急パッチ適用の判断基準、設定変更の記録を運用に組み込みます。VPN方式の安全性は、製品選定よりも継続管理で差が出ます。
リモートデスクトップ方式・VDI方式との違い
VPN方式とリモートデスクトップ方式は、どちらも社内資産を利用する候補になりやすい方式です。ただし、データ処理の場所と端末保存リスクが異なります。
| VPN方式 | 社外端末からオフィスネットワークへ接続し、手元端末側でファイル操作やデータ処理を行いやすい方式です。既存システムを広く使いやすい一方、端末に業務データが残るリスクがあります。 |
|---|---|
| リモートデスクトップ方式 | テレワーク端末からオフィス内PCなどを遠隔操作する方式です。処理は接続先PC側で行うため、端末にデータを残しにくい構成を取りやすい方式です。 |
| 仮想デスクトップ(VDI)方式 | 仮想デスクトップ基盤上で処理を行う方式です。集中管理やセキュリティ統制に強い一方、導入費用、基盤運用、同時接続数、通信品質を細かく設計します。 |
端末保存をできるだけ抑えたい場合は、VPN方式だけで決めないほうが安全です。リモートデスクトップ方式、VDI方式、セキュアブラウザ方式も候補に入れて、業務範囲と端末統制を比較します。
VPN方式に向いている業務
VPN方式は、社内ネットワーク上の複数システムを横断して使う業務に向いています。たとえば、社内ファイルサーバー、基幹系システム、部門システム、社内申請、社内Webアプリを組み合わせて使う部門では候補になります。
- 社内ファイルサーバーを頻繁に使う業務
- オンプレミスの業務システムを継続利用する業務
- 会社支給端末を標準化して配布できる部門
- 対象者を限定して段階導入したい業務
- 通信が不安定な場合でも、保存済みデータで一部作業を続けたい業務
一方で、機密性の高い情報を扱う部門、外部委託先や私物端末を広く含める運用、端末保存を避けたい業務では、別方式との比較が欠かせません。
VPN方式で整えるセキュリティ対策
許可端末を把握する
最初に整えるのは、どの端末からVPN接続を認めるかという範囲設定です。会社支給端末、管理対象端末、私物端末を分け、許可端末と利用者を紐づけます。端末の棚卸しが曖昧なままVPN接続を認めると、退職者端末、紛失端末、更新されていない端末が残るおそれがあります。
中小企業向け手引きでは、テレワークに許可した端末のみを利用するよう周知し、端末と利用者を把握することが基本対策に含まれています。VPN方式では、この項目が接続管理の基本になります。
端末暗号化と遠隔消去を組み合わせる
総務省ガイドラインでは、VPN方式の考慮事項として、端末の内蔵記録装置の暗号化やデータの遠隔消去等が挙げられています。端末にデータが残る可能性がある以上、紛失・盗難を前提に備えます。
暗号化、スクリーンロック、強いログイン認証、MDM、リモートワイプ、位置情報確認、端末紛失時の報告手順をセットで整えます。リモートワイプは端末がネットワークに接続されないと実行できない場合があるため、暗号化と併用します。
多要素認証を前提にする
VPN接続をIDとパスワードだけに頼る設計は避けます。パスワードの使い回し、フィッシング、漏えい済み認証情報の悪用が起きた場合、VPN接続が社内ネットワークへの侵入経路になります。
多要素認証を導入する際は、認証アプリ、証明書、ハードウェアキー、生体認証などの方式だけでなく、端末紛失時の復旧、管理者アカウントの保護、例外時の承認手順も決めます。
アクセス範囲を絞る
VPN接続後に社内ネットワーク全体へ広くアクセスできる構成は、事故時の影響範囲を広げます。部門、業務、利用者、端末条件に応じて、接続先の範囲を絞ります。
特に、管理系システム、個人情報を扱うシステム、開発環境、ファイル共有領域は、最小限の権限にします。VPN接続の可否と、接続後に利用できるシステムの範囲を分けて設計します。
ログ取得と時刻同期を運用に入れる
VPN方式では、接続ログを取得し、誰が、いつ、どこから、どの程度接続したのかを追える状態にします。接続成功だけでなく、失敗試行、深夜や休日の接続、普段と異なる接続元、短時間の連続失敗も確認対象です。
ログを事故時に使うには、端末、VPN機器、認証基盤、社内システムの時刻がそろっていることも欠かせません。時刻がずれていると、インシデント発生時に証跡をつなげにくくなります。
不審メールとマルウェア感染への対応を決める
VPN方式では、感染した端末がVPN経由で社内システムへ接続するリスクも含めて対策します。不審メールの開封、添付ファイルの実行、偽サイトへの認証情報入力が、社内ネットワークへの侵入につながるおそれがあります。
ウイルス対策ソフト、OSとアプリの更新、メールフィルタリング、公式ストアの利用、管理者権限の制限、インシデント発生時の連絡先を合わせて整備します。従業員教育も技術対策と同じ層に置きます。
BYODでVPN方式を使う場合の注意点
BYODでVPN方式を使う場合、難易度は一段上がります。個人所有端末では、OSやアプリの更新、マルウェア対策、暗号化、外部媒体、業務データ削除、調査範囲を企業が完全に統制しにくいためです。
総務省ガイドラインでも、BYOD利用時は、業務で利用するシステムやアプリケーションが利用可能か確認すること、利用端末を適切に把握すること、マルウェア対策ソフト等のインストールを強制できないなど十分なセキュリティ統制が取れないリスクを評価したうえで可否を決めることが示されています。
BYODを認めるなら、少なくとも次の条件を明文化します。
- 利用できるOS、端末種別、サポート対象バージョン
- 業務データを端末に保存してよいか
- 会社が確認できる端末情報の範囲
- マルウェア対策、画面ロック、暗号化の条件
- 紛失・盗難・退職時のデータ削除方法
- インシデント発生時に会社が調査できる範囲
- 利用者が負担する費用と会社が負担する費用
この条件を受け入れられない場合、VPN方式でBYODを広げるのは危険です。端末にデータを残しにくいリモートデスクトップ方式、VDI方式、セキュアブラウザ方式を優先して比較します。
導入前の確認リスト
VPN方式を採用する前に、次の項目を点検します。ここで答えが曖昧なものは、導入後に問い合わせ、例外対応、セキュリティ事故として表面化しがちです。
- VPNで接続させる対象業務を決めているか
- 接続先システムとアクセス範囲を利用者ごとに分けているか
- 会社支給端末とBYODの扱いを分けているか
- 端末に保存してよいデータと保存禁止のデータを決めているか
- 端末暗号化、スクリーンロック、リモートワイプを運用できるか
- VPN接続に多要素認証を適用しているか
- 許可端末を確認する仕組みとして、端末認証やデジタル証明書を検討しているか
- VPN機器やネットワーク機器のアップデート担当を決めているか
- 同時接続数、通信量、ピーク時間帯を見積もっているか
- 接続ログ、認証ログ、時刻同期を運用に入れているか
- 紛失、盗難、不審メール、マルウェア感染時の連絡先を周知しているか
VPN方式で避けたい失敗
最も避けたいのは、「VPNを入れたから安全」と扱うことです。VPNは通信経路を守るための仕組みであり、端末上のデータ、利用者の権限、認証情報、ログ、インシデント対応まで肩代わりしません。
次に避けたいのは、社内ネットワークへの接続範囲を広げすぎることです。テレワーク対象業務に不要なシステムまで見える構成にすると、認証情報漏えいや端末感染時の影響範囲が広がります。接続できる状態と、接続を許可すべき範囲は分けて設計します。
もう一つは、利用者教育を軽く見ることです。VPN方式では、端末の扱い、不審メール、公共Wi-Fi、画面ののぞき見、端末紛失、パスワード管理が日常業務に入り込みます。利用者の行動に起因する事故は、技術対策だけでは防ぎ切れません。
参考情報
まとめ
VPN方式は、既存の社内システムを活用しながら、オフィスに近い業務環境を作りたい場合に有力な方式です。会社支給端末を管理でき、社内ファイルサーバーやオンプレミス環境を継続利用したい企業では候補になります。
一方で、端末側にデータが残りやすく、VPN機器や認証情報が攻撃対象になることもあります。採用するなら、端末管理、暗号化、遠隔消去、多要素認証、端末認証、アクセス制御、ログ確認、インシデント対応までセットで設計します。VPN方式の評価は、通信経路だけでなく、運用全体で決まります。
よくある質問
Q.VPN方式とは何ですか
A.社外のテレワーク端末からVPN接続を行い、オフィスネットワーク内のファイルサーバーや業務システムを利用する方式です。社内にいる場合に近い業務環境を構成できる一方、端末側に業務データが残る可能性があるため、端末管理、利用者認証、端末認証、ログ確認を合わせて設計します。
Q.VPN方式はどのような業務に向いていますか
A.社内ファイルサーバー、オンプレミスの業務システム、社内Webアプリなどを広く使う業務が候補になります。会社支給端末を前提に、既存の社内資産を活用しながらテレワークを始めたい場合に検討します。
Q.VPN方式のメリットは何ですか
A.既存の社内システムを利用し、オフィスに近い業務環境を作れる点です。端末側に業務データを保存して作業する運用では、通信が不安定な時間帯でも一部の作業を継続できる場合があります。
Q.VPN方式のデメリットは何ですか
A.端末側でデータ処理を行うため、データ保存の制限が難しい点です。端末の紛失・盗難、マルウェア感染、認証情報の漏えい、VPN機器の脆弱性放置が事故につながる可能性があります。
Q.VPNを導入すればテレワークは安全になりますか
A.VPNだけでは十分ではありません。VPNは通信経路の保護に有効ですが、端末の暗号化、許可端末の把握、多要素認証、端末認証、アクセス制御、ログ取得、紛失時の対応手順を別に整えます。
Q.VPN方式とリモートデスクトップ方式の違いは何ですか
A.VPN方式は手元端末から社内ネットワークへ接続し、手元端末側でデータ処理やファイル操作を行いやすい方式です。リモートデスクトップ方式は、オフィス内のPCなどを遠隔操作するため、端末側にデータを残しにくい構成を取りやすい方式です。
Q.VPN方式でBYODを使ってもよいですか
A.技術的には可能ですが、採用には慎重な評価が要ります。私物端末では、OS更新、マルウェア対策、暗号化、業務データ削除、インシデント時の調査範囲を企業側が統制しにくくなります。
Q.VPN方式では多要素認証を使うべきですか
A.強く推奨されます。IDとパスワードだけでVPN接続を許可すると、認証情報の漏えい時に不正アクセスの起点になります。VPN、管理者アカウント、重要システムには多要素認証を組み合わせ、必要に応じてデジタル証明書による端末確認も検討します。
Q.VPN方式で端末にデータを残さない運用はできますか
A.一定の制御は可能ですが、VPN方式は手元端末で作業する構成になりやすいため、端末保存を完全に避けたい場合は慎重に設計します。端末保存を抑えることが最優先なら、リモートデスクトップ方式、VDI方式、セキュアブラウザ方式も比較対象に入れます。
Q.VPN方式を選ぶ前に何を確認すべきですか
A.対象業務、接続先システム、同時接続数、端末保存の可否、会社支給端末かBYODか、認証方式、端末認証やデジタル証明書の要否、ログ管理、VPN機器の更新体制、紛失・盗難時の連絡手順を点検します。
ピックアップ Pick up
-
インタビュー顧客ごとに最適なSASEを見極め、提供するリコージャパンの取り組み ― Soliton OneGateの認証を組み合わせ、更に安心して使える環境に ―
-
インタビュー情報資産の確実な保全に向けて ― バッファロー、ソリトン、パトライトの3メーカーで取り組む、危機を「見える」「聞こえる」形で捉えるソリューション ―
-
インタビューBUFFALO「AirStation Pro」のセキュリティはなぜ強固?JC-STARとデジタル証明書認証
-
インタビューFNETSが描く次世代セキュリティ像「セキュアアクセス+」とは?その認証で果たすソリトンの役割
-
インタビュー消防DXで命を守るNEC、 その信頼を支えるソリトンセキュリティ
-
インタビュー手軽で高機能な無線ネットワーク「Cisco Meraki」と認証で果たすSoliton OneGateの役割
タグ Tag
金融
流通・小売
医療
エネルギー
運輸
サービス
情報通信
中央省庁・独法
自治体・地方公共団体
教育・文教
認証
エンドポイント
ネットワーク
ゼロトラスト
販売店インタビュー
メーカーインタビュー
セミナーレポート
展示会・フェアレポート
サイバーセキュリティ
リモートアクセス
テレワーク
社内LAN
無線LAN
プロダクト検証
サプリカント設定
技術解説記事
調査報告
Windows
iOS
macOS
Android
ChromeOS
DHCP/DNS
Soliton OneGate
NetAttest EPS
NetAttest D3
SmartOn ID
InfoTrace 360
Soliton SecureBrowser
Soliton SecureDesktop
WrappingBox
FileZen S
VVAULT
コラム
調査レポート目次
Soliton SecureWorkspace
HiQZen
外部リンク
VVAULT AUDIT
サイバー攻撃
SASE
