ニュース

Com Net Work Com Net Work .inc

VPNは必要?リモートワークの安全な接続方法を解説

ニュース

テレワーク環境で安全に社内にアクセスするために

【この記事のポイント】

VPNは、インターネット上に暗号化された専用トンネルを作り、自宅や出先のPCから社内ネットワークに安全にアクセスできるようにする仕組みで、テレワーク環境では標準的な選択肢です。

よくあるのが「VPNを入れたから安全」と思い込んでしまい、VPN接続前に自由にインターネットへ出られる運用のままにしていたり、社内側がフラットなネットワークのままで「VPNさえ突破されれば全て見えてしまう」構成になっているケースです。

行動としては、「そもそも何を安全につなぎたいのか」「VPNが自社に合っているのか、それともゼロトラスト型リモートアクセスを組み合わせるべきか」「多要素認証や端末制限・ログ取得まで含めて"運用できる範囲"を決めること」の3ステップで考えると、セキュリティと使いやすさのバランスが取りやすくなります。

今日のおさらい:要点3つ

  • RDP直接公開は非常に危険であり、VPNまたはリモートアクセスサービスを経由すべきです。
  • VPNを入れたら終わりではなく、多要素認証・端末制限・ネットワーク分割とセットで運用することが重要です。
  • テレワークの拡大に伴い、VPN単体からZTNA(ゼロトラスト型リモートアクセス)への移行が進んでいます。

この記事の結論

一言で言うと、「リモートワークで社内リソースにアクセスするなら、VPNかゼロトラスト型リモートアクセスのどちらかは必須であり、"素のインターネット+RDP公開"は選んではいけない選択肢」です。

最も重要なのは、「VPNの導入はゴールではなくスタートであり、多要素認証・端末制限・ログ管理とセットで考えること」「全てをVPN経由にするのか、SaaSは直接・社内だけVPNという"スプリット"にするのかを決めること」「ゼロトラスト(ZTNA)はVPNを完全に置き換えるのではなく、"ユーザーやアプリ単位で絞り込んだアクセス制御"を追加する選択肢だと理解すること」です。

失敗しないためには、「リモートワークの接続方式」を"コストだけ"で決めず、「どの業務をどの場所から行うのか」「止まると困るシステムはどれか」「IT部門が運用できる複雑さはどこまでか」を整理したうえで、VPN単体かVPN+ZTNAか、あるいはクラウド型リモートデスクトップサービスも含めて比較検討することが大切です。

自宅のWi-Fiから社内PCへ、「そのままRDP」でつないでいた頃の不安

ポート3389を開けたまま、ブラウザを閉じた夜

正直なところ、私が最初にリモートワークを始めた頃は、「VPNってなんだか難しそう」と感じていて、自宅から社内PCへの接続も、RDPのポート(3389番)をルータで開けて、外から直接つなぐという「今思えばかなり危ない」方法をとっていました。そのときは、パスワードを少し複雑にしておけば大丈夫だろう、社名もPC名も外からは分からないだろうと、根拠のない安心感で自分を納得させていました。

でも、ある日ふと、検索窓に「3389 ポート 公開 危険」と打ち込んでみたとき、インターネット上でRDPポートを開けっぱなしにしているPCが大量にスキャンされていること、実際にその経路からの侵入、ランサムウェア被害が多数報告されていることを知って、背筋がすっと冷えました。

その夜、ブラウザを閉じたあとも、「今この瞬間も、うちのグローバルIPに向かってポートスキャンが飛んできているんだろうな」となんとなく落ち着かず、寝る前にもう一度ルータの設定を開いてポートを閉じたのを覚えています。

実は、「VPN=重い・面倒」という先入観が、自分を危険な選択に誘っていた

その後、社内のインフラ担当に相談してみると、「RDPを直接公開している」と話した瞬間に、少しだけ深いため息をつかれました。

「正直なところ、RDPの直接公開は"やってはいけない"部類ですね。実は、VPN自体はそこまで難しくないですし、最近はリモートアクセス専用サービスも増えているので、もう少し安全な方法に変えましょう。」

そこから、社内にVPN装置を用意するパターン、キャリアのリモートアクセスサービスを使うパターン、社内PCを画面転送型のリモートデスクトップサービスで操作するパターンなど、いくつかの選択肢を比較することになりました。

あのとき、あの一言がなければ、「少し危ないけど動いているから」と、何年も3389番ポートを開けっぱなしにしていたかもしれません。

VPNの基本 ― 何を守ってくれるのか

VPNとは ― インターネット上の「仮想の専用線」

VPNは次のように説明されます。

Virtual Private Network:インターネットなどの公衆網の上に、暗号化された「仮想の専用線」を構築する技術。テレワークで使われるのは主に「リモートアクセスVPN(拠点から社内への接続)」や「拠点間VPN」です。利用者のPCとVPNゲートウェイ(社内のVPN装置やクラウドサービス)が、IPsecやSSL/TLSなどのプロトコルで暗号化トンネルを張ります。

これにより:

  • 自宅やカフェのWi-Fiを通っていても、通信内容は暗号化され、第三者から覗き見されにくくなる。
  • 社内にいるときと同じように、社内LANのファイルサーバや業務システムにアクセスできる。

というメリットが得られます。

VPNのメリット・デメリットを整理する

VPNのメリット・デメリットは次のようにまとめられています。

メリット

  • 公衆Wi-Fiからでも、安全に社内ネットワークへ接続できる。
  • 社内にいるのと近い感覚で、ファイルサーバ・基幹システムなどにアクセス可能。
  • IPsec/SSLで暗号化されており、盗聴リスクを大きく減らせる。

デメリット・課題

  • VPN終端装置の性能や回線に負荷が集中し、ユーザー数やトラフィックが増えると速度低下が起きやすい。
  • 全トラフィックをVPN経由にすると、クラウドサービスへのアクセスも社内経由になり、遅延の原因になる。
  • 一度VPN内に入った端末がマルウェア感染していると、「社内と同じ権限」で内部へ広がる危険がある。

特にゼロトラストの文脈では、「VPNは"入れた人は信頼する前提"」であることが課題として挙げられ、アクセス先を細かく制御するZTNAなどへの移行が注目されています。

ゼロトラスト(ZTNA)との違い ― 何を「信用しない」のか

ゼロトラストとVPNの違いは次のように説明されています。

VPN

  • フレーム:一度認証したユーザーや端末は「社内ネットワークに入れて良い」とみなす。
  • 社内ネットワーク内は比較的信頼され、広い範囲にアクセスできる構成になりがち。

ゼロトラスト(ZTNAなど)

  • フレーム:「社内外問わず、全てのアクセスを常に検証する」が前提。
  • ユーザー・端末・アプリごとに細かくアクセスを制御し、必要最小限のリソースのみ許可。
  • クラウドサービスやSaaSも含めた「アプリ単位」のアクセス制御が得意。

拡張性やセキュリティの厳格さを考えると、少人数・限定的な社内アクセスならVPN中心。100人以上のテレワーカー・多数のSaaS利用・社外からの多様なアクセスがあるならZTNA+VPNといった住み分けが現実的だと解説されています。

安全なリモート接続の選択肢と比較

選択肢① クラシックなリモートアクセスVPN

テレワーク時の基本方式として「リモートアクセスVPN」が紹介されています。

概要

  • 自宅などのPCにVPNクライアントをインストール。
  • 社内のVPNゲートウェイに接続し、社内LANへ参加。

メリット

  • 社内側の構成が従来のままでも導入しやすい。
  • 社内PC・ファイルサーバ・オンプレシステムへのアクセスに強い。

デメリット

  • 全トラフィックが社内に集約されると、回線や機器に負荷が集中。
  • 感染端末がVPN経由で入ると、社内ネットワークへ一気に広がるリスク。

正直なところ、「まずはVPNでつなぐ」という選択は今でも有効ですが、「つないだ端末をどう信頼するか」「どこまで社内を見せるか」をセットで考えないと、ランサムウェアなどの横展開リスクが残ります。

選択肢② 画面転送型リモートデスクトップサービス

社内PCを画面転送で操作するタイプのリモートアクセスが提案されています。

概要

  • 社内PCはオフィスに置いたまま、手元端末から画面だけを転送して操作。
  • 社内データは社内PC内に留まり、端末側には残さない。

メリット

  • データが手元端末に落ちないため、盗難・紛失時のリスクを低減。
  • 社内PCさえ動いていれば、既存の業務環境をほぼそのまま外から使える。

デメリット

  • 社内PCが常時起動である必要がある。
  • 画面転送のため、帯域や遅延の影響を受けやすい。

こうしたサービスの多くは、VPN機能を内包していたり、独自の暗号化トンネルを利用しているため、「VPNかリモートデスクトップか」というより、「VPN単体か、それを含むリモートアクセスサービスか」という選択になります。

選択肢③ ZTNA/ゼロトラスト型リモートアクセス

ZTNAは「VPNをアプリ単位のアクセス制御で置き換える」イメージで紹介されています。

概要

  • ユーザー・端末の認証・状態確認を行い、許可されたアプリやサービスにだけ接続を許可。
  • 社内ネットワーク全体ではなく、特定のWebアプリ・RDP・SSHなど単位で権限付与。

メリット

  • 侵害されたアカウントや端末の影響範囲を限定しやすい。
  • クラウドサービス・SaaSとの相性が良く、拠点や端末の増加にも柔軟に対応。

デメリット

  • 設計や導入コストがVPNより高くなることが多い。
  • ポリシー設計・運用ノウハウが必要。

大規模なテレワーク・多様な働き方を前提とする企業では、「VPN+ZTNA」で段階的に移行するケースが増えています。

対策1 ― RDP直接公開を即座に廃止する

RDPをインターネットへ直接公開している場合は、まず最初にその構成を廃止します。VPN経由またはリモートアクセスサービス経由へ移行し、RDPが外部に露出しない構成に変更することが急務です。

対策2 ― VPN接続に多要素認証(MFA)を導入する

VPN接続時にID+パスワードのみではなく、多要素認証を必須とします。これにより、パスワード漏洩時の被害を大幅に低減できます。

対策3 ― テレワーク用ネットワークの設計と分離

VPN接続後にアクセスできる範囲を制限し、テレワーク端末用のセグメントを用意します。社内ネットワークをフラットなままにせず、重要なサーバやバックアップネットワークは別セグメント化することが重要です。

対策4 ― 端末のセキュリティ確認を自動化する

VPN接続前に、接続する端末のOSパッチ適用状況、アンチウイルスの状態、ファイアウォール有効化などを確認し、条件を満たさない端末は接続を拒否する仕組みを導入します。

対策5 ― リモートアクセスのログを取得・監視する

VPN接続・アクセス先・ファイル操作などのログを取得し、定期的に監視・分析します。異常なアクセスパターンの早期発見が、セキュリティインシデント防止につながります。

よくある質問

Q1. リモートワークにVPNは絶対必要ですか?

A1. 社内ネットワークやオンプレミスシステムにアクセスするなら、VPNか、それに相当する安全なリモートアクセス手段は必須です。クラウドのみで完結する業務なら、VPNなしでもゼロトラスト的な認証・端末管理で対応できます。

Q2. 自宅から社内PCへRDP接続するだけならVPNは不要ですか?

A2. 不要ではありません。RDPを直接インターネットへ公開するのは非常に高リスクで、VPN経由もしくは専用のリモートアクセスサービスを経由するのが安全な方法です。

Q3. VPN接続するとインターネットが遅くなるのはなぜですか?

A3. すべての通信がVPN終端装置を経由し、暗号化・復号処理が入るためです。SaaSやWebへのアクセスが多い場合、ローカルブレイクアウトやZTNAなどで経路を分けると改善することがあります。

Q4. 小規模な会社でもゼロトラストを検討すべきですか?

A4. すぐにフルゼロトラストに移行する必要はありませんが、MFA・端末認証・アプリ単位のアクセス制御など、ゼロトラスト的な要素を少しずつ取り入れていくのは有効です。

Q5. フリーWi-FiからVPNなしで社内クラウドにアクセスするのは危険ですか?

A5. 危険度は高まります。少なくともHTTPS・MFA・端末のセキュリティ対策が必須で、可能ならVPNやZTNAを経由する方が安全です。

Q6. VPNの代わりにリモートデスクトップサービスを使っても良いですか?

A6. はい。画面転送型で社内PCを操作するサービスは、データを手元端末に残さないため、用途次第ではVPNより安全な選択になることもあります。ただし、サービス選定と設定が適切であることが前提です。

Q7. どの方式を選べばいいか分かりません。判断基準は?

A7. 「社内のどのシステムに・どのくらいの頻度で・何人が・どこからアクセスするか」が判断基準です。オンプレ中心ならVPN、クラウド中心ならZTNAやIDaaS+端末管理、ハイブリッドならVPN+ZTNA/リモートデスクトップの組み合わせが候補になります。

まとめ

リモートワークで社内リソースへ安全に接続するには、VPNかゼロトラスト型リモートアクセスが前提であり、RDPやファイル共有をそのままインターネット公開する構成は避けるべきです。

正直なところ、「VPNを入れたかどうか」より、「多要素認証・端末制限・ネットワーク構成・ログ管理まで含めて運用できているか」の方が安全性を左右します。まずは自社の業務フローと利用システムを洗い出し、「どこから何にアクセスさせたいのか」をはっきりさせるところから、一歩ずつ設計を進めるのがおすすめです。


💻 IT・通信に関するご相談はこちら

「業務効率を改善したい」
「通信環境を見直したい」
「自社に合うシステムを導入したい」

そんなお悩みはありませんか?

コムネットワーク株式会社では、
お客様の課題に合わせた最適なIT・通信ソリューションをご提案します。

まずはお気軽にご相談ください。

📞 フリーダイヤル:0120-56-9665
📞 TEL:052-533-0331
📠 FAX:052-533-0306

👉 お問い合わせはこちら
https://comnetwork.co.jp/contact/

―――――――――――――――

👩‍💼 採用エントリーはこちら

新卒・中途ともに募集しています。
IT業界で活躍したい方はぜひご応募ください。

👉 エントリーはこちら
https://comnetwork.co.jp/recruit/

News 一覧