近年、出社と在宅勤務を組み合わせたハイブリッドワークが企業に広く定着しつつあります。2025年の調査によれば、全体の65%の企業(大企業では87%)がハイブリッドワークを導入していると報告されています。
社員がオフィスだけでなく自宅やカフェ、出張先など様々な場所から社内システムやクラウドサービスにアクセスする機会が増えたことで、情報セキュリティ確保がこれまで以上に重要な課題となっています。
実際、複数の経路・デバイスから社内システムへのアクセスが可能となり、従来の「社内=安全・社外=危険」で分ける境界型防御は限界に近づいています。
そのため、ゼロトラストなど新たなセキュリティ戦略への注目が高まっています。
本記事では、ハイブリッドワーク時代に求められるネットワーク戦略として、社外からでも安全に社内システムへアクセスするためのポイントを解説します。
具体的には、VPN(仮想プライベートネットワーク)、IPアドレス制限、固定IPサービス、ゼロトラスト、SD-WAN、クラウドサービス接続、IAM(アイデンティティ管理)といった多角的なアプローチをご紹介し、セキュリティ・利便性・管理コストのバランスをとるための提案を行います。
初心者の方にも分かりやすいよう丁寧に説明しますので、ぜひ自社のネットワーク戦略検討の参考にしてください。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
VPNによるリモートアクセス
ハイブリッドワークでまず思い浮かぶのがVPN(仮想プライベートネットワーク)接続です。
VPNはインターネット上に暗号化されたトンネルを構築し、自宅や外出先の端末をあたかも社内ネットワークに直接接続しているかのような状態にできます。
新型コロナ以降、在宅勤務急増への対応策としてVPN接続はビジネスにおいて必要不可欠な存在となりました。
従業員はVPN経由で社内のサーバーやファイル共有、グループウェアなどにアクセスでき、多くの企業で導入・活用されています。
しかし、VPNには注意すべき課題もあります。
暗号化により一定の安全性は担保できるものの、「通信経路が迂回するため処理速度が遅くなる」「ソフトウェアの脆弱性が狙われ不正侵入を許す可能性がある」といった指摘もあります。
実際、VPN機器やクライアントソフトの既知の脆弱性を突いたサイバー攻撃事例も報告されており、VPNだけでは最新の脅威への対応に限界があるという声も聞かれます。
さらに、一度VPNで社内ネットワークに入ってしまうと内部の様々なリソースにアクセスできてしまうため、万一利用端末がマルウェア感染していると被害が広がるリスクも抱えています。
そのため、VPNを利用する際は最新バージョンへのアップデートや多要素認証(MFA)の併用などでセキュリティ強化を図ることが重要です。
また、必要最小限のネットワークセグメントやサービスのみにアクセスを限定する設定(いわゆるネットワークのセグメンテーション)も効果的です。
VPNは手軽で低コストな反面、こうした注意点を踏まえた運用が求められます。
IPアドレス制限によるアクセス制御
社内システムへのアクセスを制御する古典的な方法にIPアドレス制限があります。
あらかじめ許可した特定のIPアドレスからのアクセスのみを受け付け、それ以外の通信は遮断する仕組みです。
例えば社内LAN内の端末(固定のグローバルIPを持つオフィス回線)からのみ業務システムにログイン可能とし、自宅など別拠点からのアクセスは原則ブロックするといった運用です。
IP制限は実装が比較的容易で、信頼できる拠点以外からの不正アクセスを防ぐシンプルかつ強力な方法です。
許可されたIP以外からの接続を遮断できるため、不正アクセス防止に有効とされています。
実際、社内システムやサーバーの管理画面を社内ネットワーク(固定IPを持つオフィス回線)だけに限定しておけば、攻撃者が社外からアクセスすることは困難になります。
しかし、ハイブリッドワークでは社員が様々な場所・ネットワークから業務を行うため、単純なIP制限だけでは支障が出る場合があります。
自宅のインターネット回線やカフェのWi-Fiでは利用時ごとにグローバルIPアドレスが変わることも多く、許可されていないIPからのアクセスになってしまうからです。
この問題を解決するには、「社外の場所にいても信頼できる特定のIPアドレスからアクセスしている状態を作り出す」ことがポイントとなります。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
固定IPアドレスの活用による安全な接続
上記の課題に対するソリューションが固定IPアドレスの付与サービスです。
これは、リモート環境からでも常に決まったグローバルIPアドレスを経由して通信を行えるようにするサービスで、いわば「どこからでも同じ住所(IP)でアクセスする」ためのVPNの一種です。
GMOペパボが提供する「ロリポップ!固定IPアクセス」はその代表例で、オフィスだけでなく自宅や外出先からでも簡単に固定IPで社内ネットワークに接続可能なサービスです。
手元のPCやスマホに専用アプリ(WireGuard対応)を設定してVPN接続するだけで、割り当てられた固定IPアドレスからインターネットへアクセスできるようになります。
固定IPサービスを活用すると、以下のようなシーンで安全な運用に役立ちますl
- 社内限定ツールへ社外から接続 社内IP制限のかかった業務ツールやファイルサーバーに、テレワーク中でも固定IP経由でアクセスできる
- 複数拠点からの開発作業 Web制作やシステム開発時に、離れた拠点や在宅メンバー全員が同じ固定IPでクライアントの検証環境へアクセスできる
- 公共Wi-Fi利用時のセキュリティ向上 カフェやホテルなど不特定多数が利用するネットワーク上でも、固定IP VPN経由で通信を暗号化し社内システムに安全にアクセス可能
- 拠点間アクセスの一元管理 系列店舗の決済・在庫システムなどで必要な固定IPをサービスで一括提供し、各店舗から本部システムへのアクセス元を一元管理できる
上記のように、固定IPサービスは「信頼できる発信元を仮想的に作る」ことでハイブリッドワーク下のアクセス制御を実現します。
不特定の自宅IPをその都度ホワイトリストに登録する必要がなくなり、運用管理もシンプルになります。
特に当社の提供するロリポップ!固定IPアクセスでは、月額数百円という低コストから利用でき、1つの固定IPアドレスを複数人で同時利用することも可能です。
たとえばテレワーク中の社員が社内システムへログインする際、本サービスで割り当てられた固定IPから接続すれば、社内側では「許可されたIPからのアクセス」とみなして受け入れることができます。
リモートワーク普及によって生じた「社外からのアクセス元IPを特定し制限する必要性」に対する手軽な解決策と言えるでしょう。
ゼロトラストセキュリティモデルの導入
社外・社内を問わず全てのアクセスを疑い、常に検証を行うゼロトラストの考え方も、ハイブリッドワーク時代の重要な戦略です。
ゼロトラストとは、「社内だから信頼する/社外だから信用しない」という従来型の境界防御を改め、「何も信頼しない(Never Trust, Always Verify)」を原則とするセキュリティモデルです。
ユーザーであれデバイスであれ、アクセスごとに認証と許可を厳格に行い、許可された最小限のリソースのみにアクセスさせます。
このモデルを採用すると、たとえ従業員であっても常に本人確認と端末の安全性チェックを通過しなければ社内リソースにアクセスできなくなります。
結果として不正アクセスやデータ漏洩のリスクを大幅に低減でき、権限のないユーザーやセキュリティが担保されない端末からの接続を遮断可能です。
また、ユーザーごと・アプリケーションごとに個別の細かなアクセス権限を設定できるため、必要最小限のアクセス許可によるリスクの最小化も図れます。
加えて、クラウドやモバイルを含む様々な環境から安全に利用できる柔軟性も備えており、場所を選ばず一貫したセキュリティポリシーを適用できるメリットがあります。
もっとも、ゼロトラストの導入にはそれなりのコストと手間も伴います。
専用の認証基盤やデバイス管理の仕組みを整備する必要があり、初期費用が高額になりがちです。
既存システムからの移行にも時間と計画が必要でしょう。
また、アクセスのたびに認証を要求されるなど厳格なセキュリティは利便性の低下を招く恐れも指摘されています。
ユーザーの負荷が大きくならないよう配慮しつつ、段階的に導入していくことが望ましいでしょう。
ゼロトラストを具体的に実現する技術としてはゼロトラストネットワークアクセス(ZTNA)が注目されています。
ZTNAでは、利用者がアクセスを求める都度クラウド上の認証サービスがユーザー・デバイスの信頼性を検証し、許可された特定のアプリケーションやサービスへのみ接続を確立します。
従来のVPNのように社内ネットワーク全体へ入れるわけではなく、一つひとつのリソースに対し必要なときだけ“細い穴”を空けるイメージです。
そのため、VPNが抱えるような「一度入られたら内部は自由に動けてしまう」リスクを軽減でき、クラウド時代に適したアクセス制御方式として注目されています。
ゼロトラストは理想的なモデルではありますが、一朝一夕に全面移行するのは難しいのも事実です。
そこで現行のVPNやIP制限とゼロトラスト的手法を組み合わせる過渡的なアプローチも考えられます。
例えば重要システムには多要素認証や端末検証を必須にしつつ、一般業務は従来通りVPNで許可する、といったハイブリッドな運用です。
自社のセキュリティ要求度やリソースに応じて、段階的にゼロトラストの要素を取り入れていくと良いでしょう。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
SD-WANによる柔軟なネットワーク接続
ハイブリッドワーク環境では、社員がオフィス、自宅、サテライトオフィス、出張先などあらゆる場所から安定した社内接続を必要とします。
このニーズに応える技術として注目されるのがSD-WAN(Software-Defined WAN)です。SD-WANはソフトウェア制御によって複数の回線を統合・最適化し、拠点間やインターネットへの通信を柔軟に経路選択できるようにする仕組みです。
従来、高品質な専用線(MPLS回線など)で構築していた広域ネットワークを、ブロードバンド回線やLTE回線などを組み合わせてより低コストかつ拡張性高く実現できる点が魅力です。
SD-WANを導入すると、各拠点やユーザーの通信をアプリケーションの重要度や回線状況に応じて自動制御できるようになります。
例えばビデオ会議や音声通話などリアルタイム性が重要なトラフィックは遅延の少ない経路に振り分け、社内システムのデータ同期などは余裕のある経路に流す、といった最適化が可能です。
結果として、ハイブリッドワーク下でも拠点・在宅を問わず安定したユーザー体験を提供しやすくなります。
さらに、最近ではSASE(Secure Access Service Edge)というコンセプトも登場しています。
SASEはSD-WANとクラウド上のセキュリティ機能を統合し、エッジ(各拠点や端末)から直接クラウド経由でセキュアにリソースへアクセスさせる仕組みです。
これにより、本社経由の迂回を減らしつつ、ゼロトラスト的なセキュリティ検証も同時に行えます。
多拠点や在宅ユーザーが増えた企業では、SD-WANでネットワークを柔軟化しつつSASEでセキュリティを一元提供するといった構成が今後一般化するでしょう。
ただし注意点として、SD-WANを導入すれば自動的にインターネット通信の問題が解決するわけではないという点があります。
結局のところ、SD-WANもインターネットというインフラを使う以上、回線品質の影響は避けられません。
たとえばグローバルに展開する企業で、日本の在宅勤務者が海外のクラウドサービスにアクセスする場合、途中経路の混雑やISP障害に左右され、通信遅延や不安定さが生じる可能性は残ります。
このようなケースでは、大手通信事業者の提供する専用バックボーン網(グローバルPrivateネットワーク)を経由するサービスを利用したり、重要拠点間はMPLSを併用するといった対策も検討されます。
企業規模や要求品質に応じて、SD-WAN単体ではなく他の手段と組み合わせて最適解を探ることが大切です。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
クラウドシステムとの安全な接続
ハイブリッドワークの浸透により、社内システムの一部または大半がクラウド上に移行している企業も増えています。
メールやグループウェアはもちろん、顧客管理や営業支援、ファイルサーバー機能などをSaaSで利用するケースも一般的です。
このような状況では、クラウドサービスへのアクセスをいかに安全かつ効率的に行うかがネットワーク戦略の重要テーマとなります。
一つの考え方は、拠点や各ユーザーが直接クラウドサービスへアクセスする経路(ローカルブレイクアウト)を確保することです。
従来は本社やデータセンターを経由してインターネット接続し、そこからクラウドにアクセスさせるケースが多く見られました。
しかしそれでは本社ネットワークにトラフィックが集中し、VPNや専用線の帯域を圧迫してしまいます。そこで各拠点・各家庭の回線から直接クラウドにアクセスさせることで社内ネットワークの逼迫を回避し、快適な通信を実現できます。
例えば在宅勤務者がOffice365やGoogle Workspaceを使う場合、VPN経由ではなく自宅から直接これらクラウドにアクセスできれば、社内VPNの負荷を大きく下げることができます。
もっとも、通信を直接インターネットに逃がす場合でもセキュリティ対策は必須です。
各端末の通信を暗号化するのは当然として、不審な通信やマルウェアのダウンロードをブロックする仕組み(セキュアWebゲートウェイやエンドポイントセキュリティなど)を適用する必要があります。
また、クラウドサービス側でもアクセス権限の適切な管理や多要素認証の適用を行い、仮にIDとパスワードが漏洩しても不正にログインされないようにしておくことが重要です。
たとえば、営業担当者は顧客DBにアクセスできるが経理データにはアクセス不可とする、管理者権限は必要なスタッフのみに限定する、といった細かな権限設定が求められます。
さらに、クラウド利用を安全にするサービスとしてCASB(Cloud Access Security Broker)があります。
CASBはクラウド上の各種サービス利用を仲介し、アクセス制御や情報漏えい防止、シャドーITの可視化などを実現するソリューションです。
例えば社員が社外からSalesforceやBoxなどにアクセスする際、CASBが間に入ってデータのやり取りを監査・制御し、不正な操作やデータ持ち出しを防ぐことができます。
大企業のみならず中堅中小企業向けにもクラウド型の手軽なCASBサービスが登場しており、ハイブリッドワークに伴うクラウド利用拡大に対応する切り札となりつつあります。
まとめると、クラウド時代のネットワーク戦略では「必要に応じて社内経由せずクラウドに直接アクセスさせる」一方で「クラウド利用の見える化とコントロール」を両立することが鍵になります。
自社のクラウド活用状況を洗い出し、どのサービスにどういったセキュリティ措置を講じるかをポリシーとして定めておくと良いでしょう。
アイデンティティ管理(IAM)の徹底
ハイブリッドワーク時代の根幹を支えるのは「誰が何にアクセスできるか」の管理です。
ネットワーク越しにシステムへアクセスする以上、通信路の安全性だけでなくアクセス主体の適切な認証・許可が極めて重要となります。
ここで登場するのがIAM(Identity and Access Management)と呼ばれる仕組みです。
IAMでは、ユーザーごとのID・認証情報の一元管理と各システムへのアクセス権限の集中管理を行います。
具体的には、社員やパートナーに社内システムやクラウドサービスの利用アカウントを発行し、役割(ロール)に応じてアクセスできるリソースを限定します。
先述のように、原則として業務上必要なデータやツールにのみアクセス権を与え、それ以外にはアクセスできない最小権限の原則を適用します。
例えば、人事担当者は人事システムと関連データベースにのみアクセス可とし、他の機密情報にはアクセスさせない、といった具合です。
加えて、多要素認証(MFA)の導入も強く推奨されます。
ID・パスワードだけではフィッシングやパスワード漏えいに対処しきれないため、ワンタイムパスコードやスマートフォン認証、ハードウェアトークンなど複数の要素で本人確認を行います。
これにより、たとえパスワードが流出しても第三者による不正ログインをほぼ防ぐことができます。
また、IAMの一環としてシングルサインオン(SSO)の仕組みを導入すれば、ユーザーは一度認証するだけで許可された複数のクラウドサービスや社内システムにアクセスできるようになります。
これは利便性を高めつつセキュリティを担保する策であり、認証窓口を一本化することで不正検知やログ監査も容易になる利点があります。
最後に、IAMやアクセス制御を適切に運用するためには定期的なアカウント・権限の見直しも欠かせません。
人事異動や部署変更の際に不要となった権限を放置すると、それが内部不正や情報漏洩につながる恐れがあります。
誰がいつどのシステムにアクセスしたかというログを記録・監視し、不要な権限は速やかに削除する運用ルールを定めましょう。
IAMは技術だけでなく運用プロセスも含めた取り組みであり、組織全体でセキュリティ意識を高めながら継続することが大切です。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
セキュリティ・利便性・コストのバランスを取るには
ハイブリッドワーク時代のネットワーク戦略を考える上で難しいのは、セキュリティの強化と利便性・運用負荷とのバランスです。
極端に言えば、セキュリティだけを重視するなら社外から一切アクセスさせなければリスクはゼロになりますが、これは業務になりません。
逆に利便性のみを追求すればパスワード一つで何でも入れる状態にもできますが、当然ながら危険です。そのため企業ごとに最適な落とし所を見つける必要があります。
ポイントの一つ目は、「段階的に実現する」ことです。
たとえばゼロトラストを最終目標に掲げつつ、当面は既存VPNをMFA対応して使い、並行して一部重要システムでZTNAを試行導入する、といったフェーズ分けが考えられます。
すべてを一度に切り替えるのではなく、リスクの高い部分から優先して強化し、効果と課題を見極めながら適用範囲を広げていく手法です。
こうすることで、初期コストや運用負荷を平準化しつつ確実にセキュリティレベルを上げていけます。
二つ目は、「多層防御とシンプルさの両立」です。ネットワーク境界の防御に加え、エンドポイントでのウイルス対策やクラウド側の認証強化など複数のレイヤーで防御を固める一方、それぞれの仕組みは可能な限りシンプルでユーザーに優しいものを選ぶことが重要です。
過度なセキュリティ対策はユーザーの利便性を低下させてしまう恐れがあり、結果的に現場で形骸化してしまうケースもあります。
例えば社外アクセス時のみ追加認証を課す、重要データにアクセスするときだけメール通知する、といったメリハリのある施策であれば、ユーザーの協力も得やすく効果的です。
三つ目は、「コスト効果の分析」です。最新技術を導入すれば安心ですが、その分コスト増となり管理も複雑化します。
一方、低コストなソリューションでもリスク低減効果が高いものも存在します。
例えば前述の固定IPサービスは月額数百円で導入でき、少ない費用で不正アクセスの防止策を追加できる有効な手段です。
このように投資対効果を見極め、「高級な城壁を一枚築くより、低コストの柵を二重三重に巡らす」ような発想で、安全性を高めつつ費用を抑える工夫が求められます。
最後に、経営層や現場を巻き込んだセキュリティ意識の向上も欠かせません。
技術的な施策だけでなく、社員教育やガイドライン整備によって「なぜこの対策が必要なのか」を理解してもらうことが、運用定着の鍵となります。
ハイブリッドワークは今後も続く新しい働き方です。それを支えるネットワーク戦略も、自社の実情に合った形で継続的にブラッシュアップしていくことが大切でしょう。
ロリポップ!固定IPアクセスの紹介
ロリポップ!固定IPアクセスは、当社GMOペパボが提供する固定IPアドレス付与型VPNサービスです。
WireGuard対応のアプリを用いて接続することで、外出先・自宅・カフェなどどこからでも専用の固定IPアドレスを経由してインターネットにアクセスできます。
これにより、社内システム側ではアクセス元IPを特定の値に限定できるため、不特定多数からの不正アクセスをブロック可能です。
初回の固定IPアドレスは最大2ヶ月間の無料お試しがあり、月額料金は1ライセンスあたり539円(税込)と業界最安級の価格設定です。
個人・法人を問わずオンラインで申し込み後すぐに利用開始でき、追加ライセンスを取得すれば複数端末から同時接続も可能な柔軟さを備えています。
技術面では高速で安全なVPNプロトコルであるWireGuardを採用し、モバイル回線からの利用でも安定した高速通信を実現しています。
設定ファイルを読み込んで接続を有効化するだけの簡単操作で、高度なネットワーク知識がなくても導入可能です。
また、必要に応じてライセンス数(同時接続端末数)を柔軟に増減できるため、小規模チームから大企業まで無駄のない運用が行えます。
例えば、「普段は5人で利用しているが一時的にプロジェクトメンバー10人で使いたい」という場合にも、ライセンス追加ですぐに対応できます。
ハイブリッドワーク下で「自宅や外出先から社内システムへ安全にアクセスしたい」「取引先の開発環境にIP制限付きでアクセスする必要がある」といったニーズをお持ちの方は、ぜひロリポップ!固定IPアクセスの導入をご検討ください。
低コスト・高セキュリティでテレワーク環境を強化できるソリューションとして、皆様の事業運営をサポートいたします。
詳しいサービス内容やお申し込み方法は、公式サイト(https://vpn.lolipop.jp/)にてご案内しております。
ハイブリッドワーク時代のネットワーク戦略の一つとして、ロリポップ!固定IPアクセスを活用し、場所にとらわれない安全な社内システムアクセス環境を構築しましょう。
