
テレワーク環境で安全に社内にアクセスするために
【この記事のポイント】
VPNは、インターネット上に暗号化された専用トンネルを作り、自宅や出先のPCから社内ネットワークに安全にアクセスできるようにする仕組みで、テレワーク環境では標準的な選択肢です。
よくあるのが「VPNを入れたから安全」と思い込んでしまい、VPN接続前に自由にインターネットへ出られる運用のままにしていたり、社内側がフラットなネットワークのままで「VPNさえ突破されれば全て見えてしまう」構成になっているケースです。
行動としては、「そもそも何を安全につなぎたいのか」「VPNが自社に合っているのか、それともゼロトラスト型リモートアクセスを組み合わせるべきか」「多要素認証や端末制限・ログ取得まで含めて"運用できる範囲"を決めること」の3ステップで考えると、セキュリティと使いやすさのバランスが取りやすくなります。
今日のおさらい:要点3つ
- RDP直接公開は非常に危険であり、VPNまたはリモートアクセスサービスを経由すべきです。
- VPNを入れたら終わりではなく、多要素認証・端末制限・ネットワーク分割とセットで運用することが重要です。
- テレワークの拡大に伴い、VPN単体からZTNA(ゼロトラスト型リモートアクセス)への移行が進んでいます。
この記事の結論
一言で言うと、「リモートワークで社内リソースにアクセスするなら、VPNかゼロトラスト型リモートアクセスのどちらかは必須であり、"素のインターネット+RDP公開"は選んではいけない選択肢」です。
最も重要なのは、「VPNの導入はゴールではなくスタートであり、多要素認証・端末制限・ログ管理とセットで考えること」「全てをVPN経由にするのか、SaaSは直接・社内だけVPNという"スプリット"にするのかを決めること」「ゼロトラスト(ZTNA)はVPNを完全に置き換えるのではなく、"ユーザーやアプリ単位で絞り込んだアクセス制御"を追加する選択肢だと理解すること」です。
失敗しないためには、「リモートワークの接続方式」を"コストだけ"で決めず、「どの業務をどの場所から行うのか」「止まると困るシステムはどれか」「IT部門が運用できる複雑さはどこまでか」を整理したうえで、VPN単体かVPN+ZTNAか、あるいはクラウド型リモートデスクトップサービスも含めて比較検討することが大切です。
自宅のWi-Fiから社内PCへ、「そのままRDP」でつないでいた頃の不安
ポート3389を開けたまま、ブラウザを閉じた夜
正直なところ、私が最初にリモートワークを始めた頃は、「VPNってなんだか難しそう」と感じていて、自宅から社内PCへの接続も、RDPのポート(3389番)をルータで開けて、外から直接つなぐという「今思えばかなり危ない」方法をとっていました。そのときは、パスワードを少し複雑にしておけば大丈夫だろう、社名もPC名も外からは分からないだろうと、根拠のない安心感で自分を納得させていました。
でも、ある日ふと、検索窓に「3389 ポート 公開 危険」と打ち込んでみたとき、インターネット上でRDPポートを開けっぱなしにしているPCが大量にスキャンされていること、実際にその経路からの侵入、ランサムウェア被害が多数報告されていることを知って、背筋がすっと冷えました。
その夜、ブラウザを閉じたあとも、「今この瞬間も、うちのグローバルIPに向かってポートスキャンが飛んできているんだろうな」となんとなく落ち着かず、寝る前にもう一度ルータの設定を開いてポートを閉じたのを覚えています。
実は、「VPN=重い・面倒」という先入観が、自分を危険な選択に誘っていた
その後、社内のインフラ担当に相談してみると、「RDPを直接公開している」と話した瞬間に、少しだけ深いため息をつかれました。
「正直なところ、RDPの直接公開は"やってはいけない"部類ですね。実は、VPN自体はそこまで難しくないですし、最近はリモートアクセス専用サービスも増えているので、もう少し安全な方法に変えましょう。」
そこから、社内にVPN装置を用意するパターン、キャリアのリモートアクセスサービスを使うパターン、社内PCを画面転送型のリモートデスクトップサービスで操作するパターンなど、いくつかの選択肢を比較することになりました。
あのとき、あの一言がなければ、「少し危ないけど動いているから」と、何年も3389番ポートを開けっぱなしにしていたかもしれません。
VPNの基本 ― 何を守ってくれるのか
VPNとは ― インターネット上の「仮想の専用線」
VPNは次のように説明されます。
Virtual Private Network:インターネットなどの公衆網の上に、暗号化された「仮想の専用線」を構築する技術。テレワークで使われるのは主に「リモートアクセスVPN(拠点から社内への接続)」や「拠点間VPN」です。利用者のPCとVPNゲートウェイ(社内のVPN装置やクラウドサービス)が、IPsecやSSL/TLSなどのプロトコルで暗号化トンネルを張ります。
これにより:
- 自宅やカフェのWi-Fiを通っていても、通信内容は暗号化され、第三者から覗き見されにくくなる。
- 社内にいるときと同じように、社内LANのファイルサーバや業務システムにアクセスできる。
というメリットが得られます。
VPNのメリット・デメリットを整理する
VPNのメリット・デメリットは次のようにまとめられています。
メリット
- 公衆Wi-Fiからでも、安全に社内ネットワークへ接続できる。
- 社内にいるのと近い感覚で、ファイルサーバ・基幹システムなどにアクセス可能。
- IPsec/SSLで暗号化されており、盗聴リスクを大きく減らせる。
デメリット・課題
- VPN終端装置の性能や回線に負荷が集中し、ユーザー数やトラフィックが増えると速度低下が起きやすい。
- 全トラフィックをVPN経由にすると、クラウドサービスへのアクセスも社内経由になり、遅延の原因になる。
- 一度VPN内に入った端末がマルウェア感染していると、「社内と同じ権限」で内部へ広がる危険がある。
特にゼロトラストの文脈では、「VPNは"入れた人は信頼する前提"」であることが課題として挙げられ、アクセス先を細かく制御するZTNAなどへの移行が注目されています。
ゼロトラスト(ZTNA)との違い ― 何を「信用しない」のか
ゼロトラストとVPNの違いは次のように説明されています。
VPN
- フレーム:一度認証したユーザーや端末は「社内ネットワークに入れて良い」とみなす。
- 社内ネットワーク内は比較的信頼され、広い範囲にアクセスできる構成になりがち。
ゼロトラスト(ZTNAなど)
- フレーム:「社内外問わず、全てのアクセスを常に検証する」が前提。
- ユーザー・端末・アプリごとに細かくアクセスを制御し、必要最小限のリソースのみ許可。
- クラウドサービスやSaaSも含めた「アプリ単位」のアクセス制御が得意。
拡張性やセキュリティの厳格さを考えると、少人数・限定的な社内アクセスならVPN中心。100人以上のテレワーカー・多数のSaaS利用・社外からの多様なアクセスがあるならZTNA+VPNといった住み分けが現実的だと解説されています。
安全なリモート接続の選択肢と比較
選択肢① クラシックなリモートアクセスVPN
テレワーク時の基本方式として「リモートアクセスVPN」が紹介されています。
概要
- 自宅などのPCにVPNクライアントをインストール。
- 社内のVPNゲートウェイに接続し、社内LANへ参加。
メリット
- 社内側の構成が従来のままでも導入しやすい。
- 社内PC・ファイルサーバ・オンプレシステムへのアクセスに強い。
デメリット
- 全トラフィックが社内に集約されると、回線や機器に負荷が集中。
- 感染端末がVPN経由で入ると、社内ネットワークへ一気に広がるリスク。
正直なところ、「まずはVPNでつなぐ」という選択は今でも有効ですが、「つないだ端末をどう信頼するか」「どこまで社内を見せるか」をセットで考えないと、ランサムウェアなどの横展開リスクが残ります。
選択肢② 画面転送型リモートデスクトップサービス
社内PCを画面転送で操作するタイプのリモートアクセスが提案されています。
概要
- 社内PCはオフィスに置いたまま、手元端末から画面だけを転送して操作。
- 社内データは社内PC内に留まり、端末側には残さない。
メリット
- データが手元端末に落ちないため、盗難・紛失時のリスクを低減。
- 社内PCさえ動いていれば、既存の業務環境をほぼそのまま外から使える。
デメリット
- 社内PCが常時起動である必要がある。
- 画面転送のため、帯域や遅延の影響を受けやすい。
こうしたサービスの多くは、VPN機能を内包していたり、独自の暗号化トンネルを利用しているため、「VPNかリモートデスクトップか」というより、「VPN単体か、それを含むリモートアクセスサービスか」という選択になります。
選択肢③ ZTNA/ゼロトラスト型リモートアクセス
ZTNAは「VPNをアプリ単位のアクセス制御で置き換える」イメージで紹介されています。
概要
- ユーザー・端末の認証・状態確認を行い、許可されたアプリやサービスにだけ接続を許可。
- 社内ネットワーク全体ではなく、特定のWebアプリ・RDP・SSHなど単位で権限付与。
メリット
- 侵害されたアカウントや端末の影響範囲を限定しやすい。
- クラウドサービス・SaaSとの相性が良く、拠点や端末の増加にも柔軟に対応。
デメリット
- 設計や導入コストがVPNより高くなることが多い。
- ポリシー設計・運用ノウハウが必要。
大規模なテレワーク・多様な働き方を前提とする企業では、「VPN+ZTNA」で段階的に移行するケースが増えています。
対策1 ― RDP直接公開を即座に廃止する
RDPをインターネットへ直接公開している場合は、まず最初にその構成を廃止します。VPN経由またはリモートアクセスサービス経由へ移行し、RDPが外部に露出しない構成に変更することが急務です。
対策2 ― VPN接続に多要素認証(MFA)を導入する
VPN接続時にID+パスワードのみではなく、多要素認証を必須とします。これにより、パスワード漏洩時の被害を大幅に低減できます。
対策3 ― テレワーク用ネットワークの設計と分離
VPN接続後にアクセスできる範囲を制限し、テレワーク端末用のセグメントを用意します。社内ネットワークをフラットなままにせず、重要なサーバやバックアップネットワークは別セグメント化することが重要です。
対策4 ― 端末のセキュリティ確認を自動化する
VPN接続前に、接続する端末のOSパッチ適用状況、アンチウイルスの状態、ファイアウォール有効化などを確認し、条件を満たさない端末は接続を拒否する仕組みを導入します。
対策5 ― リモートアクセスのログを取得・監視する
VPN接続・アクセス先・ファイル操作などのログを取得し、定期的に監視・分析します。異常なアクセスパターンの早期発見が、セキュリティインシデント防止につながります。
よくある質問
Q1. リモートワークにVPNは絶対必要ですか?
A1. 社内ネットワークやオンプレミスシステムにアクセスするなら、VPNか、それに相当する安全なリモートアクセス手段は必須です。クラウドのみで完結する業務なら、VPNなしでもゼロトラスト的な認証・端末管理で対応できます。
Q2. 自宅から社内PCへRDP接続するだけならVPNは不要ですか?
A2. 不要ではありません。RDPを直接インターネットへ公開するのは非常に高リスクで、VPN経由もしくは専用のリモートアクセスサービスを経由するのが安全な方法です。
Q3. VPN接続するとインターネットが遅くなるのはなぜですか?
A3. すべての通信がVPN終端装置を経由し、暗号化・復号処理が入るためです。SaaSやWebへのアクセスが多い場合、ローカルブレイクアウトやZTNAなどで経路を分けると改善することがあります。
Q4. 小規模な会社でもゼロトラストを検討すべきですか?
A4. すぐにフルゼロトラストに移行する必要はありませんが、MFA・端末認証・アプリ単位のアクセス制御など、ゼロトラスト的な要素を少しずつ取り入れていくのは有効です。
Q5. フリーWi-FiからVPNなしで社内クラウドにアクセスするのは危険ですか?
A5. 危険度は高まります。少なくともHTTPS・MFA・端末のセキュリティ対策が必須で、可能ならVPNやZTNAを経由する方が安全です。
Q6. VPNの代わりにリモートデスクトップサービスを使っても良いですか?
A6. はい。画面転送型で社内PCを操作するサービスは、データを手元端末に残さないため、用途次第ではVPNより安全な選択になることもあります。ただし、サービス選定と設定が適切であることが前提です。
Q7. どの方式を選べばいいか分かりません。判断基準は?
A7. 「社内のどのシステムに・どのくらいの頻度で・何人が・どこからアクセスするか」が判断基準です。オンプレ中心ならVPN、クラウド中心ならZTNAやIDaaS+端末管理、ハイブリッドならVPN+ZTNA/リモートデスクトップの組み合わせが候補になります。
まとめ
リモートワークで社内リソースへ安全に接続するには、VPNかゼロトラスト型リモートアクセスが前提であり、RDPやファイル共有をそのままインターネット公開する構成は避けるべきです。
正直なところ、「VPNを入れたかどうか」より、「多要素認証・端末制限・ネットワーク構成・ログ管理まで含めて運用できているか」の方が安全性を左右します。まずは自社の業務フローと利用システムを洗い出し、「どこから何にアクセスさせたいのか」をはっきりさせるところから、一歩ずつ設計を進めるのがおすすめです。
💻 IT・通信に関するご相談はこちら
「業務効率を改善したい」
「通信環境を見直したい」
「自社に合うシステムを導入したい」
そんなお悩みはありませんか?
コムネットワーク株式会社では、
お客様の課題に合わせた最適なIT・通信ソリューションをご提案します。
まずはお気軽にご相談ください。
📞 フリーダイヤル:0120-56-9665
📞 TEL:052-533-0331
📠 FAX:052-533-0306
👉 お問い合わせはこちら
https://comnetwork.co.jp/contact/
―――――――――――――――
👩💼 採用エントリーはこちら
新卒・中途ともに募集しています。
IT業界で活躍したい方はぜひご応募ください。
👉 エントリーはこちら
https://comnetwork.co.jp/recruit/






















