テレワークとVPN

※本ブログは弊社Webサイトのコラムとして掲載したものをココナラ用に再編集したものです。

こんにちは。 小さな会社のためのデジタル戦略室、株式会社ホットソウル代表・若杉です。

テレワーク環境のご相談をうかがっていた際に、お客様から「テレワークするにはVPNが必要ですよね？」というご質問を受けました。

私からは「VPNが必要となる場合もありますが、必要ない場合も多いです。御社の場合は必要ないと思います。」とお答えしました。

同じような疑問を持たれている経営者様も多いのではないでしょうか。

今回のコラムでは、そもそもVPNとは何か、テレワークでVPNが必要になるのはどのような場合かについて、私なりに整理したことをお話いたします。

テレワークとVPNの話題は「情報セキュリティ」という経営課題に分類できます。

残念ながら、情報セキュリティ対策には「これだけやっておけば完ペキ！」といったパッケージ的なものはなく、常にリスクと費用のバランスを取りながら最善を尽くすことが求められます。

（余談ですが、少し前にホットな話題となっていたのが『Apache Log4jの任意のコード実行の脆弱性（CVE-2021-44228）』というものです。このように日々新たなリスクが表面化します。）

費用をかければかけるだけ対策の強度を上げることはできますが、財務面での負担は増し、生産性の低下も懸念されますので、経営全体が向上するとは言い切れません。

ですので、どこまで対策を取るかはリスクを織り込んだ上での経営判断になります。 

本稿ではそのような前提のもとお話いたします。

Virtual Private Network の頭文字を取ったもので、仮想的なプライベートネットワークという意味です。

ここでいうネットワークとは、コンピュータ同士をつなぐ線のことを意味しています。コンピュータ同士が、お互いに情報（データ）をやりとりするための道路、といった感じです。

プライベートネットワークとは、道路で例えれば「私道」にあたります。 私道ですので、基本的には所有者しか使えません。そのため、よその人が入ってくることもなく、渋滞もありません。

プライベートネットワークの反対は、パブリックネットワークとなります。つまり「公道」です。公道なので色々な人が通りますし、渋滞も発生します。

仮想的なプライベートネットワーク（VPN）とは、実際には「公道」を使いながら、通信相手を認証する技術や通信自体を暗号化する技術等を用いて、あたかも「私道」のような使い勝手を提供するサービス（技術）の総称です。

総称ですので、実はVPNの中にもいろいろな形態やサービスの種類、必要な費用の違いがあり、実際に導入する際には、利用目的と照らし合わせて最適なものを選択していく必要があります。

一方、専用線と呼ばれる、仮想的ではないプライベートネットワークというものも古くから存在します。

こちらは、モノとして専用の通信設備を用意する必要があり、費用も格段に高くなります。 大企業でも特別な用途のために一部だけ用いることが多く、小さな会社で使用することはあまりないと思います。

先ほど述べたように、VPNとは通信相手を認証する技術や通信自体を暗号化する技術等、複数の技術を束ねたサービスのことです。

こういった技術については、どんなに優れたものでも、セキュリティ上のリスクをゼロにすることは難しいため、VPNさえ導入すれば絶対安心ということはありません。

実際に、今年に入っても複数のVPN製品に関するリスク（脆弱性・ぜいじゃくせい）が報告されています。

気になる方はGoogleなどで「VPN製品　脆弱性」と検索してみてください。

VPNが必要となるのは、事務所内のコンピュータとリモートワーク用PCの間に、直接情報をやり取りするための道路が必要になる場合です。

そもそも、その道路が必要ない場合はVPNも必要はありません。

事務所内に置いているコンピュータの代表例としては、ファイルサーバーやNASといった会社全体でファイルを共有するのための装置が考えられます。

つまり、ザックリ言って以下の①と②の条件、または①と③の条件がそろっている場合は、VPNが必要になると考えて良いと思います。

①貴社事務所内に自前のサーバーやNAS装置を設置している。

②そこに保存されたファイルに、社外のPCからアクセスする必要がある。

③または、サーバーに社外のPCからリモートデスクトップ等で接続する必要がある。

なお、ここでのサーバーとは主にWindowsで動いているファイルサーバーをイメージしています。

③については、

業務で必要なアプリケーションのライセンス費用を節約したい等の理由で、サーバー1台だけにインストールし、利用者は各自のPCからリモートデスクトップ接続でログインして、サーバー上でアプリケーションを実行する、

といった利用形態が想定されます。

「うちは条件に当てはまるのでVPNが必要だ。」と考えるのは、早急です。

VPNの導入検討は、上述の①～③それぞれについて、目的や必要性、代替手段の検討などを行い、業務の効率化や生産性の向上を図る良い機会です。

一つ一つしっかり考えてみましょう。

自前のサーバーやNAS装置にファイルを保管している場合は、代わりにOneDriveやSharePoint、GoogleDriveといったクラウドストレージサービスを利用できないか、検討してみると良いと思います。

TeamsやSlack、Chatworkといった無料から使えるビジネスチャットツールでもファイルの共有はできますので、単純なファイル共有だけでしたら、クラウドストレージサービスすら使う必要がないかもしれません。

重要なファイルをクラウドサービス上には置きたくない、と考える方もいらっしゃるかと思います。どちらかというと、私もそのように感じます。

ただ、自前のサーバーやNAS装置は、セキュリティ対策も自前で行うことが多いと思います。

MicrosoftやGoogleといった世界的企業が行っているセキュリティ対策と比較したとき、自前の方がより安全、と言い切れるでしょうか？

各サービスの特性を理解し、必要に応じてファイル自体にパスワードを設定しておくなどの自己防衛も行ったうえで、賢く利用するのが良いかと思います。

それでもクラウドサービス上に置くことがためらわれるような機密情報の場合、そもそもリモートでアクセスさせるべきなのかどうか検討する必要があります。

Windows付属のリモートデスクトップ接続に代わるツールとして、Chromeリモートデスクトップというものもあります。

こちらは、つなげる側とつながれる側双方でGoogleChromeを使用している必要はありますが、VPNが無くてもリモートデスクトップ接続のような使い勝手を実現してくれるアプリケーションです。

無料で使うことができます。（原稿執筆時点）

このように一見VPNが必要と思われる状況であっても、考え方を変えたり、最新のツールを探したりすることで、それに代わる方法を見つけることができます。

新たな設備投資を行う前に、一度状況を整理して、本当に必要かどうかをご検討されることをお勧めいたします。