インフラ

VPNとリモートアクセスの構築ガイド|安全な社外接続の設計方法

VPNとリモートアクセス環境の構築方法を解説。IPsec・SSL・WireGuardの比較から、ゼロトラストとの使い分け、拠点間接続の設計まで実例とともに紹介します。

VPNリモートアクセスネットワークセキュリティ

VPNとリモートアクセスの重要性

リモートワークやテレワークが一般化した今、「社外から社内システムに安全にアクセスする」環境の整備は、あらゆる企業にとって避けられない課題となりました。私がコンサルティングを行う中小企業でも、VPN環境の構築や見直しの相談が急増しています。

特に中小企業では、IT担当者が1〜2名、あるいは兼任という状況が多く、「とりあえずVPNを導入したが、仕組みがよくわからない」「セキュリティが本当に大丈夫か不安」という声をよく聞きます。また、拠点が複数ある企業では、拠点間の安全な接続をどう実現するかも重要なテーマです。

本記事では、VPNの基礎知識から、IPsec・SSL・WireGuardといった主要なVPN方式の比較、リモートアクセス環境の構築手順、そしてゼロトラストネットワークとの使い分けまで、実例を交えて解説します。インフラ設計全般についてはインフラ設計入門もあわせてご覧ください。

VPNの基礎知識と種類

VPNとは何か

VPN(Virtual Private Network)は、インターネットなどの公衆ネットワーク上に、仮想的な専用回線を構築する技術です。通信内容を暗号化することで、盗聴や改ざんのリスクを低減し、安全にデータをやり取りできます。

VPNには大きく分けて2つの用途があります。

リモートアクセスVPN(Remote Access VPN) 個人の端末(PC、スマートフォンなど)から、社内ネットワークへ接続するためのVPNです。在宅勤務や外出先からの業務に利用されます。

拠点間VPN(Site-to-Site VPN) 本社と支社、あるいはデータセンターとオフィスなど、拠点同士をネットワークレベルで接続するVPNです。拠点間で常時接続が必要な場合に利用されます。

主要なVPN方式の比較

VPNにはいくつかの方式があり、それぞれ特徴が異なります。以下、代表的な3つの方式を比較します。

IPsec VPN 最も歴史が長く、標準化されたVPN方式です。OSI参照モデルのネットワーク層(L3)で動作し、高いセキュリティと汎用性を持ちます。拠点間VPNで広く採用されており、ルーターやファイアウォール機器の多くがIPsecに対応しています。

設定が複雑で専門知識を要する点がデメリットですが、拠点間の常時接続や高速通信が必要な場合には最適です。

SSL-VPN(SSL/TLS VPN) Webブラウザ経由でアクセスできるVPN方式です。クライアントソフトのインストールが不要(またはブラウザプラグインのみ)で、利用のハードルが低いため、リモートアクセスVPNとして人気があります。

HTTPSと同じSSL/TLSプロトコルを使うため、ファイアウォールを越えやすく、外出先のネットワーク環境に左右されにくいのが利点です。一方、通信速度はIPsecに比べてやや劣ります。

WireGuard 近年注目されている新しいVPN方式です。シンプルな設計と軽量な実装が特徴で、設定が容易かつ高速です。Linux Kernelに組み込まれ、WindowsやmacOS、iOS、Androidにも対応しています。

従来のVPNに比べてコード量が少なく、セキュリティ監査がしやすい点も評価されています。ただし、商用機器のサポートはまだ発展途上であり、企業利用では実績が少ない点に注意が必要です。

方式用途メリットデメリット
IPsec拠点間VPN高速・安定・標準化設定が複雑
SSL-VPNリモートアクセス簡単・ブラウザ対応やや低速
WireGuardリモートアクセス・小規模拠点間軽量・高速・設定容易商用実績が少ない

VPNのセキュリティと認証

VPNの安全性は、暗号化アルゴリズムと認証方式によって決まります。

暗号化アルゴリズム 現在は AES(Advanced Encryption Standard)が主流です。鍵長は128ビット、256ビットが一般的で、256ビットの方がより強固です。古い3DESやDESは脆弱性が指摘されており、新規構築では避けるべきです。

認証方式 VPNへの接続時には、正当なユーザー・機器であることを確認する認証が必要です。

  • 事前共有鍵(PSK: Pre-Shared Key): 設定が簡単ですが、鍵の管理が難しく、複数ユーザーで共有すると漏洩リスクが高まります。
  • 証明書認証(PKI: Public Key Infrastructure): デジタル証明書を用いる方式で、セキュリティが高く、大規模環境に適しています。
  • 多要素認証(MFA: Multi-Factor Authentication): パスワードに加えてワンタイムパスワード(OTP)や生体認証を組み合わせる方式で、より強固です。

中小企業であっても、VPN接続には多要素認証の導入を強く推奨します。

リモートアクセスVPNの構築手順

ここでは、従業員が自宅や外出先から社内ネットワークにアクセスするための、リモートアクセスVPNの構築手順を解説します。

ステップ1: 要件の整理

まず、以下の要件を明確にします。

  • 同時接続ユーザー数: ピーク時に何名が同時接続するか
  • アクセス対象: 社内のどのシステム・サーバーにアクセスするか
  • 接続元デバイス: PC、スマートフォン、タブレットなど
  • 通信速度: 必要な帯域幅(ファイル共有、Web会議など)
  • セキュリティポリシー: 認証方式、ログ取得、アクセス制御など

これらの要件をもとに、VPN機器やサービスを選定します。

ステップ2: VPN方式とサービスの選定

中小企業がリモートアクセスVPNを構築する場合、以下の選択肢があります。

オンプレミス型VPNアプライアンス 自社のネットワークにVPN専用機器(またはファイアウォール機器のVPN機能)を設置する方式です。初期コストは高めですが、長期的にはランニングコストを抑えられます。

代表的な製品:

  • Fortinet FortiGate(ファイアウォール+SSL-VPN)
  • Cisco ASA(ファイアウォール+VPN)
  • Yamaha RTXシリーズ(ルーター+IPsec)

クラウド型VPNサービス クラウド上のVPNサーバーを利用する方式です。初期投資が不要で、柔軟にスケールできます。

代表的なサービス:

  • AWS Client VPN
  • Azure VPN Gateway
  • Tailscale(WireGuardベース)

UTM(統合脅威管理)のVPN機能 ファイアウォール、アンチウイルス、IPS/IDSなどを統合したUTM製品の多くは、VPN機能を備えています。セキュリティ対策とVPNを一体で導入できるため、中小企業に適しています。

従業員数50名以下の企業では、UTM製品のVPN機能、またはクラウド型VPNサービスを推奨します。

ステップ3: ネットワーク設計

VPNを導入する際には、社内ネットワークの設計も見直す必要があります。

IPアドレス設計 VPN接続時にクライアントに割り当てるIPアドレスプールを決定します。社内ネットワークのIPアドレス体系と重複しないように注意してください。

例:

  • 社内LAN: 192.168.1.0/24
  • VPNプール: 192.168.10.0/24

アクセス制御(ACL: Access Control List) VPN接続後に、どのサーバー・リソースにアクセスできるかを制御します。全てのリソースへのアクセスを許可するのではなく、業務に必要な範囲に限定することが重要です。

例えば、営業部門のVPNユーザーはファイルサーバーとメールサーバーにのみアクセスを許可し、基幹システムのサーバーへはアクセスできないようにするなどです。

スプリットトンネリング VPN接続時に、社内向け通信はVPN経由、インターネット向け通信は直接接続とする設定を「スプリットトンネリング」と呼びます。

メリット:VPNサーバーの負荷軽減、通信速度の向上 デメリット:インターネット向け通信がVPNのセキュリティ保護を受けられない

セキュリティを優先する場合は、全ての通信をVPN経由にする「フルトンネリング」を選択します。

ステップ4: クライアント設定と展開

VPNクライアントソフトウェアを従業員のPCやスマートフォンにインストールし、接続設定を行います。

設定の配布方法 手動での設定は手間がかかり、設定ミスも発生しやすいため、以下の方法を推奨します。

  • 構成プロファイルの配布: 設定ファイル(.ovpn、.mobileconfig など)を配布し、インポートするだけで設定完了
  • MDM(Mobile Device Management): スマートフォンやタブレットには、MDMツールで一括設定

接続マニュアルの作成 IT担当者が少ない中小企業では、従業員が自力でトラブルシューティングできるよう、接続手順書を用意することが重要です。

マニュアルには以下を含めます:

  • VPNクライアントのインストール手順
  • 接続設定の手順(スクリーンショット付き)
  • 接続できない場合のチェックポイント(Wi-Fi接続確認、パスワード確認など)
  • 問い合わせ先

ステップ5: 運用とモニタリング

VPN環境を構築した後も、継続的な運用・監視が必要です。

接続ログの監視 誰がいつVPNに接続したかのログを記録し、定期的に確認します。不審な接続(深夜の接続、海外からの接続など)があれば調査します。

帯域監視 VPN経由の通信量が想定を超えていないか監視します。帯域不足が発生する場合は、回線の増強やVPNサーバーのスケールアップを検討します。

サーバー監視の詳細については、別記事で詳しく解説していますので、サーバ監視・アラート設計入門も参照してください。

定期的な棚卸し 退職者のVPNアカウントが残っていないか、定期的に棚卸しを行います。アクセス権限の見直しも重要です。

拠点間VPNの設計

複数の事業所を持つ企業では、拠点間を安全に接続する拠点間VPNが必要です。

拠点間VPNの構成パターン

ポイント・ツー・ポイント(Point-to-Point) 2拠点を1対1で接続する、最もシンプルな構成です。拠点数が少ない場合に適しています。

例:本社 ⇔ 支社A

ハブ・アンド・スポーク(Hub and Spoke) 中心となる拠点(ハブ)に他の拠点(スポーク)が接続する構成です。支社同士の通信は、必ず本社を経由します。

例:本社(ハブ) ⇔ 支社A、支社B、支社C(スポーク)

拠点数が多い場合、VPN接続数を減らせるため管理がしやすくなります。ただし、本社のVPN機器に負荷が集中する点に注意が必要です。

フルメッシュ(Full Mesh) 全ての拠点が相互に接続される構成です。拠点間の通信が多い場合に適していますが、接続数が拠点数の二乗に比例して増えるため、管理が複雑になります。

拠点間VPNの設定例

ここでは、本社と支社をIPsec VPNで接続する例を紹介します。

構成

  • 本社:YamahaルーターRTX1210、固定IPアドレス
  • 支社:YamahaルーターRTX1210、固定IPアドレス
  • VPN方式:IPsec(IKEv2)
  • 認証:事前共有鍵

設定のポイント

  1. 両拠点のルーターに固定IPアドレス(またはDDNS)を設定
  2. IPsecのフェーズ1・フェーズ2のパラメータを合わせる
  3. ルーティング設定で、相手拠点のネットワークへの経路をVPN経由に設定
  4. ファイアウォール設定で、VPNトンネル経由の通信を許可

拠点間VPNは設定が複雑なため、ベンダーのサポートやSIerに依頼することをおすすめします。

クラウドとの拠点間VPN

最近では、AWSやAzureなどのクラウド環境と、オンプレミス拠点を拠点間VPNで接続するケースも増えています。

AWS Site-to-Site VPN AWSのVPC(仮想ネットワーク)と、オンプレミスのネットワークをIPsec VPNで接続します。設定は比較的容易で、多くのルーター・ファイアウォール機器に対応しています。

Azure VPN Gateway AzureのVNetと、オンプレミスのネットワークを接続します。冗長構成(アクティブ/スタンバイ、アクティブ/アクティブ)にも対応しています。

クラウド移行を検討している企業は、まず拠点間VPNでハイブリッド環境を構築し、段階的にクラウドへ移行するアプローチが有効です。詳しくはオンプレミスからクラウドへのサーバ移行手順をご覧ください。

ゼロトラストネットワークとVPNの使い分け

近年、「ゼロトラストネットワーク」という考え方が注目されています。これは、「社内ネットワークだから信頼する」という従来の前提を捨て、全てのアクセスを検証するアプローチです。

ゼロトラストとVPNの違い

従来型VPN(境界型セキュリティ)

  • VPN接続後は、社内ネットワーク全体にアクセス可能
  • 「VPN=信頼できる」という前提
  • 一度侵入されると、内部での横展開が容易

ゼロトラストネットワーク

  • 全てのアクセスをその都度認証・認可
  • 「誰も信頼しない」前提
  • アプリケーション単位でアクセス制御

ゼロトラストを実現するツールとして、以下のようなものがあります。

  • SDP(Software Defined Perimeter): アプリケーションごとにアクセスを制御
  • IAP(Identity-Aware Proxy): Googleが提唱する、IDベースのアクセス制御
  • SASE(Secure Access Service Edge): クラウド型のセキュアアクセス基盤

VPNとゼロトラストの使い分け

ゼロトラストは理想的ですが、既存システムの改修やツールの導入にコストがかかります。中小企業では、以下のように使い分けることを推奨します。

VPNが適している場面

  • 拠点間の常時接続
  • レガシーシステム(VPN前提で設計されている)へのアクセス
  • ファイルサーバーや社内システムへの一括アクセス

ゼロトラスト(SDP、IAP等)が適している場面

  • クラウドSaaSへのアクセス
  • 特定のWebアプリケーションへの限定的なアクセス
  • BYOD(私物端末)からのアクセス

まずはVPNで基本的なリモートアクセス環境を整備し、将来的にゼロトラストへ移行する、という段階的なアプローチが現実的です。

失敗しやすいポイント

VPN環境の構築・運用において、中小企業が陥りがちな失敗パターンを紹介します。

1. 帯域不足

VPN接続が増えると、インターネット回線の帯域が不足し、通信速度が低下します。特に、Web会議やファイル共有が増える時間帯に顕著です。

対策

  • VPN導入前に、ピーク時の同時接続数と必要帯域を見積もる
  • 回線の増強を検討(例:100Mbps → 1Gbps)
  • スプリットトンネリングを活用し、VPN経由の通信を減らす

2. 認証情報の使い回し

事前共有鍵(PSK)を全従業員で使い回すと、1人が退職した際に全員分の鍵を変更する必要があり、運用負荷が高まります。また、鍵が漏洩した場合の影響範囲が広くなります。

対策

  • ユーザーごとに個別のアカウントを発行
  • 証明書認証や多要素認証を導入
  • 退職者のアカウントは即座に削除

3. ログの未確認

VPNの接続ログを取得しているものの、誰も確認していないケースがあります。不正アクセスがあっても気づけません。

対策

  • 週次または月次でログをレビューする運用を確立
  • 異常な接続(失敗の多発、深夜の接続など)を自動検知する仕組みを導入

4. 古いプロトコルの使用

古いVPN方式(PPTP、L2TP/IPsec with weak encryption)は脆弱性が指摘されています。

対策

  • IPsec VPNならIKEv2を使用
  • 暗号化はAES 256ビット以上
  • VPN機器のファームウェアを定期的にアップデート

5. VPN機器の冗長化不足

VPN機器が1台のみの場合、故障すると全従業員がリモートアクセスできなくなります。

対策

  • 可能であればVPN機器を冗長構成にする
  • 予備機を準備し、迅速に切り替えられるようにする
  • クラウド型VPNサービスを併用し、バックアップ手段を確保

導入事例: 拠点間VPNとリモートアクセスの統合

ここでは、拠点間VPNとリモートアクセスVPNを統合した事例を紹介します。

企業プロフィール

業種: 製造業(金属部品加工) 従業員数: 120名 拠点: 本社(東京)、工場(埼玉)、営業所(大阪) IT体制: 情報システム担当1名(本社)

課題

同社は、以前から本社と工場を専用線(広域イーサネット)で接続していましたが、月額15万円のコストが負担となっていました。また、営業担当者が外出先から顧客情報や在庫情報を確認できず、業務効率が悪い状況でした。

コロナ禍を機に、以下の要件で環境を刷新することになりました。

  • 本社・工場・営業所を安全に接続
  • 営業担当者がスマートフォンから在庫照会
  • 総務・経理担当者が自宅から勤怠システムや会計システムにアクセス
  • 専用線を廃止してコスト削減

導入内容

拠点間VPN 各拠点にYamaha RTX1210ルーターを設置し、IPsec VPNでハブ・アンド・スポーク構成を構築しました。本社をハブとし、工場と営業所がスポークとして接続します。

  • 本社 ⇔ 工場: IPsec VPN(常時接続)
  • 本社 ⇔ 営業所: IPsec VPN(常時接続)

インターネット回線は、各拠点で光回線(1Gbps)を契約しました。

リモートアクセスVPN 本社にFortiGate 60Fを導入し、SSL-VPN機能を利用しました。FortiClientというクライアントソフトをPCとスマートフォンにインストールし、多要素認証(FortiTokenによるOTP)を設定しました。

同時接続ライセンスは50ユーザー分を購入しました。

アクセス制御 VPN接続後のアクセス権限を、部門ごとに制御しました。

  • 営業部門: 在庫管理システム、顧客管理システム
  • 総務・経理部門: 勤怠システム、会計システム、ファイルサーバー
  • 工場担当者: 生産管理システム

成果

コスト削減 専用線の月額15万円が不要となり、年間180万円のコスト削減を実現しました。VPN環境の構築費用(機器・設定費用)は約200万円でしたが、2年目以降は大幅な削減効果があります。

業務効率向上 営業担当者がスマートフォンから在庫状況を確認できるようになり、顧客への回答スピードが向上しました。また、総務・経理担当者が週2日在宅勤務を行えるようになり、従業員満足度も向上しました。

セキュリティ向上 多要素認証の導入により、パスワード漏洩時のリスクを低減しました。また、接続ログを週次で確認する運用を開始し、不審な接続の早期発見が可能になりました。

運用のポイント

情報システム担当者1名で運用するため、以下の工夫をしました。

  • Yamahaルーターの設定は、導入SIerにテンプレート化してもらい、拠点追加時に流用
  • FortiGateの管理画面で、接続ログを毎週月曜日にチェックする運用ルールを確立
  • 従業員向けにVPN接続マニュアルを作成し、問い合わせを削減

VPN機器の保守契約を結び、トラブル時にはベンダーサポートを受けられる体制を整えました。

まとめ

VPNとリモートアクセス環境の構築は、今や多くの企業にとって必須の取り組みです。本記事のポイントをまとめます。

VPN方式の選定

  • 拠点間VPNにはIPsec、リモートアクセスにはSSL-VPNが定番
  • WireGuardは新しい選択肢だが、商用実績を確認

セキュリティ対策

  • 暗号化はAES 256ビット以上
  • 多要素認証を導入し、パスワードのみの認証を避ける
  • 接続ログを定期的に確認

設計のポイント

  • 同時接続数と必要帯域を見積もる
  • アクセス制御で、必要最小限のリソースのみアクセス可能にする
  • スプリットトンネリングとフルトンネリングを使い分ける

運用の工夫

  • 従業員向けマニュアルを整備し、問い合わせを削減
  • 退職者のアカウント削除を忘れずに
  • ベンダー保守契約でトラブル時のサポート体制を確保

中小企業では、IT担当者のリソースが限られています。無理に自前で全てを構築するのではなく、クラウド型VPNサービスや、SIerのサポートを活用することも有効です。まずは小規模に始めて、運用しながら改善していくアプローチをおすすめします。

関連記事