メニュー
テレワーク

失敗しない!VPNの選び方完全ガイド 2022年保存版(テレワーク対応編)

20年以上PCの開発設計から製造、運用や保守・保証サポートまでのすべてを行なっているVAIO株式会社がVPNの選び方を徹底解説します。

【30秒でわかる】この記事ではこんなことが理解できます

テレワークに適したVPNを選ぶ4つのポイント

  • 価格(初期費用・ランニングコスト・スポットでかかるお金)
  • 利便性・使い勝手
  • セキュリティの強固さ
  • ベンダーやサービスの評判

情シス担当に聞いたよくあるVPNの課題と不満と対応方法

  • パスワードの複雑化が引き起こす弊害
  • ユーザーサポートに時間が取られる
  • 回線がすぐ切れる、遅い

その他

  • VPNのメリット・デメリット
  • 安全なテレワークのために実施すべきこと
  • VPNの情報の集め方 などなど…

この記事はこんな方によく読まれています

  • VPNをどのような観点から選んだらいいかがわからない
  • テレワーク環境を構築したいけど、どんなことから検討をすれば良いかわからない
  • 既存のVPN装置では、メンテナンス性が悪く、ユーザー対応にも四苦八苦しているため、乗り換えを検討したい

このガイドは最初から順番に読むだけでなく、目次から好きなセクションにジャンプして読むこともできます。

そもそもVPNとは?

VPNの歴史・生い立ち

VPNとは、Virtual Private Networkの略語で仮想的にプライベートネットワークを構築する通信技術の総称です。企業活動においてITが活用される過程で、複数の拠点間をネットワークで繋ぐ必要性が生じた場合、VPNが登場する以前は、拠点間を接続するために専用線を敷設する必要がありました。もちろん専用線なので安全性は非常に高い半面、コスト面において大きなデメリットを抱えており導入できる企業も限られていたのが実情です。

企業のIT利用の加速とブロードバンドサービスの普及に伴いインターネット上にプライベートネットワークを仮想化(Virtual)して構築するVPNが誕生し、これにより低価格で安全なネットワークが構築できるようになり急速に普及していきました。

VPNの種類

VPNには、主なものとしてInternet-VPNと、IP-VPNの2種類が存在します。これ以外にも、広域イーサネットなども拠点間接続においてはシェアを伸ばしてきています。

Internet-VPNとは

Internet-VPNは一般のインターネットの中に専用線を仮想的に構築する技術で、現在ではリモートアクセスで利用するVPNは、こちらに該当するケースが多いです。

例えばウェブサイトにアクセスする場合、プロバイダを経由してインターネットにアクセスするため目的のウェブサイトまでの経路には、さまざまな人のデータが混在して流れています。そのため、インターネットを利用して企業の機密情報など重要なデータを拠点間で通信する場合、経路途中でデータの傍受などを行われるリスクがあり、そういったリスクを回避するため企業の拠点間でデータを流す場合、送信側で通信内容を暗号化し、受信側で暗号を解くことで通信経路上でデータの傍受をされても、その通信内容を解読させない手法が開発されました。それがVPNの基本的な考え方で、昨今では通信経路としてインターネットを利用するサービスを、Internet-VPNと呼びます。

IP-VPNとは

Internet-VPNにより、拠点間通信は暗号化されることで安全性は高まりましたがインターネットを利用していることで、暗号化されているとはいえその情報が様々な人のデータと混在して通信されるため、データが安全なのか、傍受されないのかなど不安は残ります。また、インターネットを利用したInternet-VPNは、公衆回線を利用しているため速度や安定性の面で不安があったのも事実です。そのため、拠点間の通信において安全性と安定性を向上したい企業のニーズにこたえる形で、IP-VPNは誕生しました。通信業者が保有する閉域ネットワークを利用して通信することで、インターネットのように公衆回線を経由せず、また通信速度や品質も安定することが特徴です。インターネットのように他の通信と混線はしませんが、設備は共有しているため、安全な回線を安定した速度で利用しながら専用線と比較しリーズナブルな価格で導入できるメリットがあります。拠点間通信において、Internet-VPNが持つ安全性の課題と、データ量の増加の影響による安定した通信を求めるユーザーのニーズに加え、技術革新の進化によるコストダウンから、企業における拠点間通信は、Internet-VPNからIP-VPNへと進化してきた歴史があります。

Internet-VPN利用方法の変化

当初、拠点間を接続するために利用されていた Internet-VPN は、IP-VPNの普及やPC性能の向上、ブロードバンドネットワークの高速化、そしてコストの安いインターネット回線を利用できるなど、さまざまな理由から、PCが外部から社内ネットワークにアクセスする手段として利用が広がりました。つまり、これまで専用の装置で暗号化していた部分を、PC側で通信を暗号化し、本社側に設置した機器で暗号を解いて社内ネットワークを利用するという使われ方が始まったのです。また、ビジネスにおいてIT活用が加速してきたことと、インターネットを様々な場所で利用できる環境が普及したことも影響し、Internet-VPNがテレワークにおけるリモートアクセスで使用されるようになりました。

Internet-VPNにおける課題は引き続き存在していますが、それでもテレワークなどでInternet-VPNが普及しているのは、利用する人数が限られており、拠点間接続のように常時通信していないことで、利用シーンと通信データ、そして費用対効果を考えた場合、導入のしやすさが背景の一つとして存在します

このように、拠点間接続にはIP-VPNが活用されているなか、Internet-VPNは、リモートアクセスにおいて利用が広がっています。

リモートアクセスでVPNを導入する目的

インターネットを利用できる環境が普及したことやビジネススタイルの変化により、様々な場所から企業ネットワークへ安全に接続する必要性が生まれました。ファイアウォールで守られた企業ネットワークに外部から安全にアクセスするのは容易ではなく、そのための手段としてInternet-VPNが用いられます。

インターネットは不特定多数の人が利用しているため危険性は常に存在します。設定にもよりますが、例えばホテルの共用ネットワークを利用している場合、101号室に泊まっている人が、実は201号室で通信している情報を傍受することが可能なケースもあります。他にも、カフェや公共施設などの公衆Wi-Fiでは、暗号化強度が低いことも多く、Wi-Fiの電波を傍受され、データを盗み見られるリスクや、正しい公衆Wi-Fiに接続したつもりが悪意ある公衆Wi-Fiに接続してしまい予期しない被害を受ける可能性もあります。

このように、さまざまな場所から企業内ネットワークにアクセスするテレワークでは、その通信経路において悪意ある攻撃者から通信を傍受されるリスクが存在し、特に海外では正式な公衆Wi-Fiと思って接続した先が実は偽のWi-Fiであり、これに接続すると意図しないサイトにアクセスさせられて、ウイルスを流し込まれてしまう――といった例が実際に報告されています。

VPNを介さない通信はなぜ危険なのか

2020年に発生した新型コロナウイルスの影響によってテレワークは急速に広がりました。そんな中、VPN利用者数の急増やWeb会議など通信量の大幅な増加によりVPNの安定稼働が難しく業務に支障をきたしていることが様々な調査で判明しています。テレワークで社員の安全を守りながら、業務を止めないため、苦渋の選択として通信量を分散させる目的でクラウドサービスを利用するケースでは、VPNを利用しないことを許容している企業も散見されます。ですが、本来、企業ネットワークには、悪意のあるサイトアクセスを防止、外部からの攻撃を防止、機密情報の持ち出しなどを防止するため誰がどこにアクセスしたかログを収集するなどの目的でファイアウォールやUTMなど、セキュリティ対応機器を設置することで様々な対策を施しています。しかし、テレワークなど社外でPCを利用する環境下においてVPNを介さずにPCをインターネットに直接接続してしまうことで、通信経路で機密情報を傍受されるだけではなく、企業内ネットワークが持つ様々なセキュリティ対策が十分な効果を発揮できないリスクがあります

また、VPNを導入し安全な通信が利用可能な環境を整えたとしても、運用中も十分なケアをしなければ脆弱性のリスクは残ります。VPNを導入すればそれだけで安全なわけではなく、パスワードの定期的な変更やセキュリティポリシーの徹底、VPN装置の脆弱性対応など、運用中も安全を守るためのケアを続けることが重要です

ここからは、主にテレワークを行う上でのリモートアクセスサービス、VPNサービスについて解説します。

VPNが利用されるさまざまな場面

これまで説明してきたようにVPNは現在、企業の拠点間同士の接続や、テレワークや出張先のホテルからクライアントPCが拠点ネットワーク内の情報資産にアクセスするなどといった利用方法に加え、金融機関のATMやレジのPOS端末など、重要なデータを流すシーンではバックボーンにも利用されています。また昨今では安全性と安定性を求め、クラウドサービスやクラウドストレージにダイレクトにアクセスするためにVPNを利用している企業も存在します。
このように、VPNは、通信経路に重要な用法を通信させる場合にその経路を守るため、さまざまなシーンで活用されています。

VPN以外のリモートアクセス

テレワーク環境で業務を安心・安全に行うため総務省がテレワークセキュリティガイドライン(第5版)を作成しています。

総務省のガイドラインでは、テレワークを行う際に選択する代表的な7つのテレワーク方式を紹介しており、自社に最適なサービスを選択するための参考になるフローチャートが掲載されていますので、皆様の業務スタイルに合ったテレワーク方式が見つかると思います。

テレワークセキュリティガイドラインによると、方式としては

①VPN

②リモートデスクトップ(RDP)

③仮想デスクトップ(VDI)

④セキュアコンテナ

⑤セキュアブラウザ

⑥クラウドサービス

⑦スタンドアロン

と7つの方式に分類されます。

それぞれに、メリット・デメリットがあり、自分たちの業務スタイルに合ったサービスを選ぶことが重要です。

参照:https://www.soumu.go.jp/main_content/000752925.pdf

VPNのメリット・デメリット

テレワーク方式にはそれぞれに特徴があり、総務省のガイドラインでは7種類の方式について、以下の5項目でS〜Dの5段階評価をしています。

①オフィス業務の再現性

②通信集中時の影響度

③システム導入コスト

④システム導入作業負荷

⑤セキュリティ統制の容易性

それぞれメリット・デメリットが存在しますが、VPNは企業内のネットワークに接続しているため社内でPCを利用しているのと同じ状態となり、オフィス業務の再現性は高いと判断されています。コスト的にも、仮想デスクトップ(VDI)方式やリモートデスクトップ(RDP)方式に比べて安価で、通信回線が無くてもPC単独で仕事ができるメリットも存在しています。

一方セキュリティ統制はCとなっています。これはPCそのものを物理的に社外へ持ち出すため、PC内部のデータ漏洩の危険性や、企業の目の届かない場所で作業することで、企業内部のサーバーにアクセスして不正に情報を持ち出される危険性などがリスクが高いと判断されていることに起因しています。そのため、外部からの企業内ネットワークに対するアクセス時は、利用可能な情報資産の範囲を制限したり、端末そのものの紛失や盗難に備えた対策などが必要です。また、サービス導入には初期投資やシステム導入が必要なこともあり、テレワーク環境の整備にコストや時間が必要なこともデメリットとして上げられます。

参照:https://www.soumu.go.jp/main_content/000752925.pdf

ちなみにソコワクは?

「ソコワク」は個体認証の仕組みを利用していることから、端末1台ごとに固定IPが割り当てられます。そのため、社外からのアクセスにおいてはアクセス先を限定したい場合、端末ごとにIPアドレスを用いたアクセス可能範囲の制御が実現でき、テレワーク中の端末は、社外からのアクセス範囲を制御することが可能です。(管理部の従業員は、管理部のサーバーだけアクセスさせるなど)。これによりテレワーク中にアクセス可能なリソースを端末ごとに制御可能にすることで、企業の目が届かない場所での利用に対して制限をかける対策が可能になります。ソコワクでは、他のリモートアクセスソリューションでは難しい固定IPアドレスの割り当てを、個体認証機能により実現しています。

また、ソコワクでは、万が一端末を紛失した場合に、紛失したPCを他人が使って会社のネットワークに侵入する――というリスクを防ぐために、ソコワク管理ポータルでソコワクの個体認証を停止することができます。個体認証が停止された端末は、認証サーバーで通信をブロックされるため、企業ネットワークに接続することができず、PCの紛失等による不正アクセスのリスクを大幅に低減できます。このような仕組みによって、VPNの弱点である『セキュリティ統制の容易性』を、ソコワクは解決しています。

なお、テレワークにおいては、PC内部のデータに関してもしっかり守る必要があり、MDMソリューションや、PC内部データのリモート消去に特化したソリューションなどもリリースされており、ソコワクと併せて利用することで、より安全性を高めることが可能です。

VPNの安全性と脆弱性

VPNの通信経路は暗号化されていますが、L2TP/IPsecやOpenVPN、SSTPなど暗号化方式は様々です。それぞれに特徴はありますが、現時点では、主な暗号化方式については安全性の面であまり気にする必要はありません。(ただし、PPTPについては、マイクロソフト自身も脆弱性を認めており利用は推奨されません。)VPNの安全性で最も気を付けなければいけないのは、VPN装置のメンテナンスでしょう。装置の設定を誤ってしまったり、脆弱性のパッチの適用を忘れるなど保守を怠ってしまうと攻撃者の標的になってしまいます。そんなの常識だよと考えられているIT管理者の方もたくさんおられるかと思いますが、世間に目を向けると、昨年あれほど多くのニュースを賑わせたVPN装置の脆弱性を例に見てみると、以下グラフのように脆弱性が発表されてから半年が経過しても、適切にパッチが適用されていない装置が2割近く残っているのが現実です。

CVE-2019-11510を持つ国内のPulse Connect Secureホストの数
JPCERTから引用

また、IDとパスワードだけで認証する方式では、なりすましやシャドーITによる社内ネットワークへの侵入、ウイルス持ち込みのリスクは常につきまといます。銀行決済や様々なログイン場面で利用されている二段階認証など、認証方式をより強固にする方法も合わせて採用するのが必須です。VPN装置を置くということは、いわば会社に勝手口を作るようなものです。いくら玄関が閉まっていても勝手口が開いていたら安全性は守られません。「VPNを導入したから大丈夫」と安心するのではなく、導入したVPN装置を継続して保守・管理していくためのルールや仕組み、予算計画も併せて実行することが必要です。

ですが、情報セキュリティ対策には、『ルール』『人』『技術』のバランスが取れた対策が重要です。管理工数や保守コストの観点から、または自分でメンテナンスする自信がないなど安全に必要なバランスの取れた対策を自社でやることに不安がある場合には、必要な対応をアウトソースできる第三者が運用するマネージドサービスを検討するのがおすすめです。

ちなみにソコワクは?

オンプレミスのVPNは、IT管理者自身もしくは、保守料などをお支払してメーカーやSIerに設定や、脆弱性対応のアップデート、機器のメンテナンスをお願いする事になります。

ソコワクの場合は装置をクラウド上に設置しサービサーで運用・保守を行っているため、IT管理者自身による管理・メンテナンスをする必要がありません。閉域網を敷設するため専用ルーターは、お客様拠点に設置させていただきますが、アップデートは閉域網を経由して自動で行われますので安心です。お支払いいただくのは、毎月の利用料のみで、保守や運用にIT管理者の工数を使うこともありませんし、月々の費用以外に追加の保守料といった追加費用をお支払いいただく必要はありません。そして、ソコワクの設備は、データセンターで冗長化されており、機器のトラブルでVPNが使えないなどといった不測の事態も最小限に抑えることが可能です。ソコワクは、IT管理者を機器の管理・運用・保守といった業務から解放しながら、高い稼働率を誇るマネージドサービスです。

テレワークに適したVPNの選び方

① 価格(初期費用・ランニングコスト・スポットでかかるお金)

テレワークに適したVPNを選ぶ場合、まずはInternet-VPN(オンプレミス型VPN)を利用するのか、または、クラウド型VPN(マネージドサービスタイプ)を利用するのかを選ぶことが必要です。オンプレミス型VPNでは、機器購入代金や設置・設定などの初期費用として規模や要件に応じて数十万円~数千万円ほど必要なケースが多いようです。加えて毎年の保守料や、オンサイトでメンテナンスを依頼した場合スポット費用などが発生するため、そういったコストを広く見込んだ予算計画が必要です。予期せぬ機器のトラブルなども、頭の痛い問題でしょう。クラウド型VPNの場合には、初期費用は数十万円ほどで導入ができ、利用人数に応じた月額費用で運用が可能です。単純なコスト比較としてどちらが安いのかという視点で見るだけではなく、保守にかかるコストや自営保守でまかなえる範囲、サービスに期待するSLAなども踏まえて、IT管理者が安心して運用できるサービスを選ぶことが大切です。

どんなスペックや価格のものを選べば良いの?

オンプレミス型VPNやファイアウォール一体型では、装置の負荷や通信量によってVPNの通信速度が遅くなるケースがあります。機器スペックとして最大利用人数などは示されていますが、快適に利用するためにはスペックを割り引いて考え、余裕をもった機材を選定する必要があるでしょう。また、VPNでは通信を暗号化するためボトルネックはどうしても発生します。スペック表で示された速度が常に利用できるわけではないことを理解し、想定人数でアクセスした場合に期待できる速度などをメーカーに確認することが必要です。従業員数や今後のワークスタイルの変化に伴うテレワーク利用者数の増加を考慮して、余裕を持ったスペックの機材を導入したいところです。

クラウド型VPNの場合も、上限無くユーザーを収容できるわけではありません。コロナ禍において、クラウド型VPNで接続ができない、速度が非常に遅いなどの問題が発生しました。これは、コロナ禍以前ではVPNは常時接続されることや、発行済みアカウント数のすべてが同時接続することを想定しておらず、想定される同時接続数を考慮した認証装置や回線を用意していたため、アカウントすべてが接続詞てくることで設計キャパシティーを超過してしまいサービスの正常な運営ができなかったようです。こういった事態を避けたい場合には、利用しようとしているサービスが、十分な認証キャパシティーをもって運用されているかを確認することが必要です。

オンプレミス型VPNとクラウド型VPNそれぞれにメリット/デメリットがありますが、保守費用(コスト)や運用(工数)による負担や自営保守への不安がある場合は、高い冗長性と安定した運用・BCP対策などを、フラットなコストで得られるマネージドサービスを選択することがおすすめです。

ちなみにソコワクは?

ソコワクは携帯網のテクノロジーを利用しているため、携帯網のように発行したライセンス分のユーザーを確実に収容できる設備を運用しています。合わせて企業に引きこむ回線は、Internet-VPNが利用する通信速度や品質が安定しないインターネット回線ではなく、1Gbpsベストエフォートの閉域IP網を利用しており、閉域のままお客様拠点に引き込むため、安定した通信速度と品質に加えて、引き込みポイントをインターネットから攻撃されないという安心も得ることができます。このように、一般的なInternet-VPNや他のクラウド型VPNに比べ安定した速度と通信品質を提供できる事に加え、利用者が集中しても、速度が大きく落ちないという特徴を持っており、利用者の増加に柔軟に対応できるため、ワークスタイルの急速な変化にスピーディーに対応できます。

また、マネージドサービスのため、保守費用や運用面における不安も無く利用いただけます。

② 利便性・使い勝手

テレワークが普及した環境下では、ユーザーが快適性の観点から、VPNを使わずにクラウドサービスに接続してしまうケースが多く報告されています。せっかくセキュリティレベルの高い環境を用意しても、これでは元も子もありません。あくまでも端末を使用するのはユーザーであり、ユーザーがルールを守って使用することで初めて期待したセキュリティが成立します。一方でユーザー依存のセキュリティ確保は仕組みとして、非常に脆弱です。そのため、自動接続やID・パスワードが不要な個体認証を備えたサービスはメリットが高いと言えるでしょう。

③ セキュリティの強固さ

VPNは基本的にIDとパスワードを使うケースがほとんど。しかし、1960年代にパスワードを発明したフェルナンド・コルバト氏が晩年期に「パスワードを巡る状況はもはや『悪夢』と化した」と発言したほど、使い回しや漏洩が当たり前のように起きているのが現状です。IDとパスワードだけでなく二段階認証などでログインを強固にすることは現代のITの中では常識になっており、「IDとパスワードだけでは安全ではない」と認識を改めるタイミングでもあるでしょう。しかしながら、安全のために複雑化する認証プロセスは、認証における安全性を高める一方、利用者にとっては非常に面倒であったり、ストレスを感じる要因となり、結果的に利用を避けてしまうという「人の脆弱性」を増長する側面も否定できません。

また、VPNには二段階認証そのものも突破する「ビッシング」という攻撃も確認されています。中間者攻撃の手法で、ID、パスワード、二段階認証のコードを全て窃取し企業内の情報へのアクセスを試みる攻撃です。このように、攻撃者は様々な手法で情報を得ようと試みるため、二段階認証を採用しているから大丈夫と高を括るのではなく、攻撃手法の進化に合わせ、必要な対策を講じることが重要です。

またシャドーITに関していえば、二段階認証を導入してもこの問題は無くすことができません。一般的に、業務で利用するPCは、会社で契約したアンチウイルスソフトやセキュリティアプリケーションを入れたPCを使うことを前提としており、その前提の上に企業全体のセキュリティバランスを取っています。(企業のセキュリティポリシーによります)そうした状況下で、ユーザーが自分自身のスマートフォンやPCを利用して社内の情報資産にアクセスすることで、さまざまなリスクが発生します。いくら企業が万全のセキュリティ体制を構築していても、ルールが順守されなければ前提としたセキュリティレベルは、いとも簡単に崩れてしまうのです。ですが、IT管理者がシャドーITを防止しようと、より複雑なセキュリティシステムを導入しても、利用者はますます面倒になることから、また新たな抜け道を探そうとするシャドーITの負の連鎖を引き起ます。シャドーITが起きる本質は、サービスが使いにくかったり、現場のニーズに合っていないことにあり、セキュリティシステムが簡単すぎるから起きていると考えるのは間違いで、現場のニーズよく聞く事も重要です。

IPA(独立行政法人情報処理推進機構)が年に1回公開している「情報セキュリティ10大脅威」によると、2021年8月に発表された最新版で、2020年の1位がランサムウェアによる被害。そして「テレワークなどのニューノーマルな働き方を狙った攻撃」が新たに3位にランクインしました。VPN装置の脆弱性を狙われ、IDとパスワードが漏洩したり、持って帰った会社のPCでVPNを使わずウイルスに感染、そのPCを会社のネットワークに接続したことで社内ネットワークにウイルスを拡散してしまったといった事例が報告されています。

参照:https://eset-info.canon-its.jp/malware_info/special/detail/210708.html

こうした事態を防止するには安全な通信を確実に実施できるような仕組みや、適切なセキュリティポリシーが適用された企業が認めた端末以外のアクセスを防止する仕組みも合わせて検討する必要があるでしょう。その一例が個体認証やPCの位置情報を活用した不正検知などです。近年では「日本の企業の社員なのになぜかアメリカからアクセスしている」などの、不自然な振る舞いを検知してブロックするテクノロジーも開発されています。

ちなみにソコワクは?

ソコワクは個体認証を使用しているため、企業が認めた端末以外の接続を防止しながら、ユーザーの手間を最少化する自動接続で、シャドーITやルール違反を確実に防止することで高い安全性を実現しています

④ ベンダーやサービスの評判

現在はBtoBの商材を比較検討する上でもサービス比較サイトを閲覧して精査することが常識になりました。ただ、自社の働き方やシステム・ネットワーク構成、今後の展開、守りたい情報資産など、さまざまな要因でベストなサービスは変わってきます。社員のITリテラシーや情報システム部門のリソースなどによっても最適なサービスは変わるでしょう。そのため、丁寧に相談に乗ってくれるベンダーやSIerなどITの知見や最新情報に明るいパートナーを見つけることが重要です

VPNを選ぶ際の参考に!情シス担当に聞いたよくあるVPNの課題と不満と対応方法

① パスワードの複雑化が引き起こす弊害

VPN接続でも最も使われているのがIDとパスワードによる認証です。本来、パスワードは、自分が覚えやすく、忘れにくく、かつ推測されにくいのが大前提であり、自分の中である程度決め方のルールを設けている方も多いでしょう。よく聞く話として、「パスワードを複雑にしたけど覚えられないためPCに付箋を貼っておく」という人がいますが、これはセキュリティ上最もやってはいけない行為ですし、他にも、社内でリモートアクセスアカウントを共用しているなどのケースでは、IT管理者がセキュリティを考慮し完全にランダムな複雑なパスワードを採用するでしょう。そうすると、その複雑さ故にメモを取ったり、スマートフォンで写真を撮って保存するといった行為を助長してしましますし、予期せぬリスクを生むことがあります。スマートフォンはクラウド ストレージと端末が同期されていることが多く、パスワード情報が自動で同期されるため、ふとした拍子に間違って共有をしてしまった場合、そこから情報漏洩につながるリスクも生じるからです。このようなケースにおいても、安全に接続できるように、トークンやメールによる認証コード発行など、二段階認証を用いるケースも増えておりますが、その手順が増えることで、さらにVPNの接続手順が複雑になる要因となっています。

二段階認証のメリット・デメリット

トークンやメールによる認証コード発行などの二段階認証は個人認証の強度を上げるメリットがある一方で、ユーザーからすると手間がかかるデメリットが存在します。そういったユーザーのデメリットに応えるのが証明書を使った個体認証です。これだとユーザー側は二段階認証をする必要がなく、接続アプリを起動し接続操作をするだけでリモートアクセスが可能なため、利便性が高いメリットがあります。しかし、証明書はPC1台ごとかつ、1年ごとの定期更新が必要で、その管理のためにIT管理者の負担が増えるデメリットがあります。ユーザーの入社時期などによって証明書の有効期限が異なるため、その管理が複雑にならざるを得ないのです。また、知識さえあれば証明書を複製も容易であり、また追加のコストが発生するなど、証明書を使った個体認証も万能ではないのが実情です。

ちなみにソコワクは?

ソコワクの個体認証では、認証に必要な鍵情報は暗号化した状態で格納されており、コピーしたり、抜き取ったりといった不正利用ができない仕組みをもっています。そのため、自動接続というユーザー目線での利便性を保ちながら、IT管理者は証明書更新や漏洩対策を考慮する必要がありません。その意味では、ユーザーにもIT管理者にも優しいサービスです

様々な場所で利用されている「パスワード」ですが、「脱パスワード」が今後の大きな潮流になることは間違いないでしょう。WindowsのログインにPINが採用されたことや、Microsoftアカウントでは、パスワードレスでのログインも開始されたことからも、脱パスワードの流れは加速すると思われます。「IDとパスワードを利用した認証にはさまざまな危険性が存在する」ということを正しく認識し、使うのであれば十分な対策を組み合わせることが非常に重要になってきます。詳しくは弊社の「モバイルPCセキュリティ完全ガイドブック」も合わせてご参照ください。

② ユーザーサポートに時間が取られる

IT管理者がユーザーサポートに時間が取られてしまうという悩みはよくあります。

よくある問い合わせについてFAQを用意し、社内ポータルに掲載する対策が第一に考えられます。また、最近ではチャットボットを活用している企業も増えています。

また、問い合わせを受けた際に説明する手法も変わってきています。従来は、電話で説明したり、現地に行って対応するなどが主流でしたが、昨今ではオンライン会議システムでユーザーと接続し、画面共有した上で説明する方法もあり、TeamsやWindows標準機能であるクイックアシストなど、一部のアプリケーションでは、操作権の要求ができるため、それを有効活用するのも手段の一つです。

いずれの対策もIT管理者サポート手法を改善するメリットはありますが、一人一人の対応をするという意味では大幅な負担の削減効果は期待できません。FAQなどIT管理者が情報発信をしていてもその情報を見ない、必要な時にその情報にアクセスできないユーザーも存在し、ネットワークトラブルでは、ネットワークを使ったリモートサポート(メールや遠隔サポートなど)が困難でしょうから、テレワーク環境でのユーザーサポートはIT管理者にとっては大きな負担です。

IT管理者の負担が大きい要因としては、テレワーク環境では、安全性を高めるためにVPN接続するなど、社内での利用とは違った手順をユーザーに要求していることも一因です。このようにVPNでは運用/保守以外にも、トラブルが起きるとユーザーサポートに時間を取られるといった隠れたコストが存在します。

では、コミュニケーションコストをカットするために、どのようにすれば良いでしょう?何処にいても社内と同じ体験ができ、それでいて安全が守られるサービスを利用することで、ユーザーに余計な負担をかけないサービスを選択することです。

自動接続のソコワクをはじめ、より手間の少ないVPNサービスを選ぶことや、他には閉域SIMも選択肢としてありますが、これは利用するシチュエーションによっては、通信費用が高額となるケースもあり注意が必要です。

いずれにせよ、セキュリティ、費用、保守の負担、ユーザーサポートにかかる手間、ユーザーの使い勝手などを、運用にかかるさまざまな要因を総合的に判断し、自社に適したソリューションを見つけていくことが重要です。

③ 回線がすぐ切れる、遅い

一般的にVPNと聞くと、「すぐ切れる」「遅い」といった印象があると思います。面倒な手順を実施してVPN接続したが、ネットワークが切れてしまうと再接続が必要となり、その再接続には面倒な手順が必要となるためユーザー側からすると非常に煩わしい思いになるかと思います。

そのようなトラブルに対して、ユーザーからIT管理者への連絡は、「VPNが切れる」「VPNが繋がらない」というコメントしか得られないのではないでしょうか?ユーザー側からすると「切れる」「繋がらない」という事象だけが発生しているわけですが、IT管理者としては、原因を突き止め業務を再開させることが第一です。まずはVPNが切れたのかインターネット回線が切れたのかで大きく判断が分かれます。テレワークではユーザーの自宅ネットワーク環境でどのような設備を利用して何の回線でインターネットに接続しているかもバラバラのため、原因の特定が難しい場合が多いでしょう。インターネット回線が切れていることが分かれば、LANケーブルやWi-Fiの機器、プロバイダに原因を絞って対応ができます。

問題無くインターネットにアクセスできるようであれば、会社側のVPN装置やVPN接続ソフトウェアにトラブルが発生したか、ユーザーの手順が間違っているのか、一部ユーザーだけの問題なのか、といった切り分けに進むことになります。

いずれにしてもタイムリーに解決していくのはなかなか難しい作業です。2020年のコロナ禍ではVPN装置の混雑によりVPNの接続ができず1日中仕事ができなかった人も大勢おり、早急な対応が困難なことから会社もそういった状況を容認せざるを得ない状況が発生していました。こういった機器側のトラブルは、個人レベルでは解決を待つしかなく、まずは「切れる」「繋がらない」といったトラブルにならない、なりにくい仕組みを構築するのが企業にとってもIT管理者にとってもベストな選択肢でしょう。

ちなみに、通信速度が「遅い」ときの対応はどこか1か所が悪いと言えないケースが多いです。VPNでは常に暗号化した通信を行っていることから、VPN未接続状態より通信速度は遅くなる傾向にあります。ネットワークが「切れた」のはWindowsなどのシステム上でも検知しますが、「遅い」状態は人の感覚のため、システムでは検知されません。またその原因が、物理的にWi-Fiが混んでいるのか、自宅のインターネットアクセスが遅いのか、会社のインターネットアクセスが遅いのか――、など多くの要因から原因を特定することは困難を極めます。一方、複数のユーザーがアクセスしている状態で通信速度が遅い場合は、VPN装置の混雑などが疑われます。いずれの場合でも、テレワーク環境において通信するデータ量や、アクセスする時間帯、同時接続数など通信量のピークを見定めて自社の利用に合った構成を検討する必要があります。

安全なテレワークのために実施すべきこと

サービスを導入して終わりではありません

どのようなサービスであれ、サービス導入が終了したらそれで終わりではありません。あくまでテクノロジ・サービスは、業務を行うための手段であって、それを安全に運用し、企業としての価値を生み出していくには、運用面のケアが欠かせません。また、業務スタイルの変化に応じて、リモートアクセスも含めたIT業務基盤を変化させていくことも重要です。

『ルール』『人』『技術』のバランスが取れた対策

どれほど安全な仕組みであっても、このバランスが崩れると想定した安全性を保つことができません。自分たちに合ったサービス(技術)を見つけたら、それを安全に運用するためのルールの策定や、そのルールを人が確実に守れるような仕組みを考えることが重要です。この3つの到達点のうち、最も低いものが最終的にはあなたの会社のセキュリティレベルになります。つまり、いかに優れたサービス(技術)を導入しても、人に対するケアが不十分であれば、人に引っ張られ会社全体のセキュリティレベルは、下がってしまいます。

テレワークセキュリティガイドラインから引用

組織の立場に応じた重要な役割

テレワークにおける安全性を守るのは、組織のIT管理者だけではありません。『経営者』・『IT管理者』・『テレワーク勤務者』それぞれの立場でセキュリティの確保に向けた役割があります。
『経営者』には、事業の効率的かつ健全な発展と、当該事業に影響を及ぼす セキュリティリスクへの対応という両側面から、組織としてのあるべき姿を検討し、そ の方針を示し、システム・セキュリティ管理者に作業を指示することが求められますし、『IT管理者』には、経営者が示した方針や指示を具体化していくために必要な、情報セキュリティに関するルール(情報セキュリティ関連規程) を作成し、当該ルールを従業員に遵守させる役割を担うとともに、当該ルールに沿った対策の企画や実施も担います。そして、『テレワーク勤務者』は、システム・セキュリティ管理者が作成した「ル ール」を認識・理解し、これを遵守する役割を担います。
このように、企業全体で安全に向けた取り組みを行うことで、期待された安全性が初めて守られるということを、関係者全員が認識し取り組む必要があるのです。

テレワークセキュリティガイドラインから引用

クラウドサービスの活用

テレワークの導入検討に際して、クラウドサービス(SaaS)を活用することで、シス テム構築・管理に関する課題に対して、次のような点で有効であると期待できます。

  • セキュリティ管理対象の軽減
  • システム導入の迅速性
  • システム拡張・縮退の容量柔軟性
  • 運用コストの低減

一方で、クラウドサービスには、クラウドサービスのセキュリティ観点で考慮するポイントもあります。クラウドサービスの性質を理解し利用する必要があります。

ゼロトラストセキュリティ

サイバー攻撃の高度化等に伴い、新たなセキュリティに対する考え方として、 「ゼロトラストセキュリティ」というものが注目されています。従来の境界型防御を置き換える単独のテクノロジーと思われがちですが、境界型セキュリティに代わるものではなく、両者を組み合わせて複合的に防御することが期待されています。

VPNの情報の集め方

① セキュリティやテレワーク関連の展示会やウェビナーに参加する

各ベンダーが配信するメルマガや展示会などの情報入手経路があります。展示会であれば気になっていたサービスについて直接話を聞くことが可能です。各社のサイトでは展示会等の情報公開もされていますし、すでに目当てのサービスがある場合は、各ベンダーが実施している無料セミナーなどで収集するのも有用でしょう。また、ネットワークの保守や相談をSIerにお願いしている場合も多く、VPNの導入においては、既存環境の設定変更が必要なケースも多く、懇意にしているSIerに相談するケースも多いです。

② インターネットで検索をする

ウェブで展開しているテクノロジー系ニュースサイトは有用な情報の収集源となります。ITサービス比較サイトにおける利用者コメントやレビューも参考になります。サイトに登録することで、メールマガジンによるイベント案内などを入手できることも多く、そういった活用方法も検討してみてください。


執筆者
ソコワクPlus 編集部

ソコワクPlusを運営する編集部員です。テレワークに求められるリモートアクセス環境やセキュリティについて、役立つ情報を読みやすいコンテンツにまとめ、お届けしていきます。