お問い合わせ

コラム

HOMEコラム詳細

VPNだけで本当に大丈夫?支給PCで起きた“ちょっとした不安”

「VPNは“絶対安全”ではない」と聞いたのですが?

画像

在宅勤務の相談を受ける中で、管理担当のYさんからこんな質問がありました。

「VPNでつないでいれば安全だと思っていました。
それでも“完全ではない”と言われるのは、どういう意味なのでしょうか?」

VPNは「安全な通信」の代名詞として知られています。
しかし実際の運用では、通信が守られていること業務全体が安全に管理できていることは、必ずしも同じではありません。この違いが、現場と管理者の間に“はっきりしない不安”を生む原因になっています。

さらに別の教員からも相談がありました。
「もし誰かがこのPCを触って、同じアカウントのまま開いたら分かりますか?」
本人以外の利用があった場合に気付けるのか、不安になったというのです。

在宅勤務では、家庭内で画面ロックを忘れたまま席を離れたり、ログイン状態が続いたままになっていたりする可能性もゼロではありません。
本人以外の利用があった場合に気付けるのか、不安になったというのです。

原因は意外なところに

Yさん:「VPNは安全と聞いていましたが、管理しきれない部分が出てきますね。」

営業担当T:「VPNは通信を守る仕組みですが、接続すると校内にいるのと同じ扱いになります。
そのため、利用範囲の判断を運用に委ねる形になりやすいんです。」

Yさん:「ルールを厳しくすれば防げますか?」

営業担当T:「ある程度は可能ですが、端末の使い方までは管理できません。そこで、仕組みの前提を一度整理してみましょう。」

では、なぜこうした不安が生まれるのでしょうか。

なぜ「VPNだけ」に依存すると問題が起きるのか

VPNはインターネット上で安全に通信を行うための仕組みです。通信は暗号化され、盗聴や改ざんを防ぐ役割を持っています。つまり、VPN自体が危険な技術というわけではありません。

しかし多くの場合、接続はユーザーIDとパスワードで認証されます。ID・パスワード認証だけでは、本人の確認が運用に依存しやすい点も課題になります。もし第三者にアカウント情報が搾取された場合、第三者が社内ネットワークへ接続できてしまう可能性があります。

さらに、VPN接続された端末は校内ネットワークの一部として扱われます。
本来インターネットから隔離されているファイルサーバーや業務システムにも到達可能になるため、運用方法によってはリスクの範囲が広がることがあります。
問題は侵入の有無だけではなく、利用状況を確認しきれない状態が生まれることにあります。

営業担当T:「そこで最近は、校内ネットワークにVPN接続せずに、校内PCのリモート操作を行う方法があります。」

Yさん:「校内ネットワークに接続せずに?」

営業担当T:「校内のPCを遠隔操作し、画面だけ表示する仕組みです。」

画面転送型リモートデスクトップという考え方

近年は「接続したら校内」という考え方ではなく、アクセスのたびに確認する“ゼロトラスト”という考え方も広まりつつあります。つまり、ネットワークに入ったかどうかではなく、操作ごとに安全性を判断するという発想です。

しかし、導入方法を検討している段階の現場も多い状況です。現場でよく耳にするのは「利用端末」の問題です。在宅勤務では、学校や会社から支給されたPCではなく、自宅の個人PCを使っているケースも少なくありません。
ところが個人PCは、更新状況やセキュリティ設定が管理されていないことも多く、組織のセキュリティ基準と差が生じる場合があります。
そのため接続制限が厳しくなったり、運用ルールが増えたりと、結果的に作業の手間が増えてしまうことがあります。かといって全員に端末を配布すると、管理やコストの負担は大きくなります。現場では「安全にしたい」と「無理なく続けたい」の間で悩むことが多いポイントです。

そこで視点を変え、端末を完全に管理しようとするのではなく、校内ネットワークに“入らせない”という考え方があります。

校内のデータやシステムは外に出さず、利用者は校内PCを遠隔操作するだけ。本人確認は二要素認証で行い、「誰が操作しているか」を明確にしたうえで、操作結果の画面だけを転送します。

この考え方を実現するのが、画面転送型リモートデスクトップです。

画面転送型リモートデスクトップでは、校内サーバーのデータを自宅PCにコピーしません。校内のPCを遠隔操作し、操作画面だけを転送します。
つまり、データは校内に残り、操作だけが自宅に届く仕組みです。

さらに二要素認証を組み合わせることで、ID・パスワードが漏れても不正アクセスを防止できます。
教育現場では、安全性を確保したうえで業務を止めない運用 が重要になります。

  • 校内ネットワークに直接入らないため、影響範囲を限定できる
  • 端末にデータを残さずに作業できる
  • 二要素認証と組み合わせることで、本人確認を強化できる

という特徴が生まれます。

メリット・デメリット

メリット

  • データを端末に残しにくく、情報漏えいリスクの低減につながる
  • 二要素認証で不正アクセス対策

デメリット

  • 初期設定に多少の手間がかかる
  • 導入には専門的なサポートが必要

リモート+二要素認証ログインのYubi Plus

Yubi Plusは、Windowsパソコンで、安心・安全な二要素認証ログインとリモート接続を可能にします。

二要素認証ログインのYubi Plus

まとめ

セキュリティ対策は重要ですが、通信を守るだけでは運用上の不安は解消されません。
データを持ち出さない前提で利用することで、安全性と業務継続を両立する運用設計が可能になります。