お役立ちコラム集

働き方のDXと、ITセキュリティに関するお役立ち情報を発信しています

               【SmartGate HPはコチラ】

タグ: VPN リスク

  • VPNとBYODの相性が最悪になりがちな理由

    VPNとBYODの相性が最悪になりがちな理由

    ― なぜ「とりあえずVPN」は現場で破綻するのか ―

    テレワークや外出先での業務が当たり前になり、BYOD(私物スマートフォン・PCの業務利用)を導入・黙認する企業は年々増えています。その際、セットで語られがちなのが「VPNを使えば安全」という考え方です。

    しかし実際の現場では、VPN × BYODの組み合わせが、セキュリティ面・運用面の両方でうまく機能していないケースが少なくありません。本記事では、その理由を構造的に整理していきます。

    VPNは「管理された端末」を前提とした仕組み

    社給端末とBYODでは前提条件が違う

    VPNは本来、社給PCのように企業が管理・統制できる端末で使われることを想定しています。

    • OSやアプリのバージョンが統一されている
    • ウイルス対策やパッチ適用が担保されている
    • 端末の紛失時も一定の対応が可能

    一方、BYOD端末はどうでしょうか。

    • OSやセキュリティ状態はユーザー任せ
    • どんなアプリが入っているか把握できない
    • 家族と共用されているケースもある

    この状態の端末をVPNで社内ネットワークに直結させること自体が、設計としてかなり無理があります。

    「VPNを入れさせる運用」が生む現場の混乱

    設定・問い合わせが情シスを圧迫する

    BYOD環境でVPNを使おうとすると、必ず次のような問題が発生します。

    • VPNアプリのインストール方法が分からない
    • OSアップデート後に突然つながらなくなる
    • 端末ごとに設定手順が違い、説明が煩雑

    結果として、情シスへの問い合わせが急増し、本来注力すべき業務に時間を割けなくなります。

    私物端末への「業務侵入」に対する抵抗感

    もう一つ見逃せないのが、利用者側の心理です。

    • 私物スマホに業務用VPNを入れたくない
    • 会社に端末を管理されている気がする
    • 何かあったとき、どこまで責任を負うのか不安

    この抵抗感により、「VPNはあるが使われていない」「一部の人だけが使っている」という形骸化した運用になりがちです。

    セキュリティ的にも「安心しきれない」理由

    VPNは「中に入った後」を守らない

    VPNは、接続時点での入口対策です。一度つながってしまえば、その端末は社内ネットワークの一員として扱われます。

    BYOD端末がもしマルウェアに感染していた場合でも、VPNはそれを前提に通信を遮断してくれるわけではありません。

    • 端末内の情報漏洩
    • 社内システムへの横展開
    • 誰が・どこまで操作したのか把握しづらい

    「VPNがあるから安全」という認識は、実態と乖離していることが多いのです。

    BYOD × VPNは“運用でカバーする”には限界がある

    ルール強化=現場負担の増加

    この問題に対し、

    • 利用ルールを厳しくする
    • 誓約書を取る
    • 定期的な注意喚起を行う

    といった対策を取る企業もありますが、技術的な不整合は運用では解決できません

    結果として、

    • 現場は使いづらい
    • 情シスは疲弊する
    • セキュリティは思ったほど向上しない

    という三方不満の状態に陥ります。

    BYOD時代に求められる「端末に情報を残さない」考え方

    発想を変える必要がある

    BYOD環境では、
    「私物端末をどう管理するか」ではなく、
    「私物端末に何も残さない」設計が重要になります。

    • 端末にデータを保存しない
    • ローカルに業務情報を持たせない
    • ネットワークに“入れない”前提で使わせる

    この発想が、VPN前提の設計からの転換点になります。

    VPNに頼らないBYODアクセスという選択肢 ― SmartGate

    SmartGateが提供するアプローチ

    SmartGateは、VPNのように端末を社内ネットワークへ接続させるのではなく、業務システムへのアクセスそのものを制御する仕組みです。

    • 私物端末に業務データを残さない
    • 社内ネットワークを開放しない
    • 利用状況を可視化しやすい

    これにより、BYOD環境でも「安全性」と「使いやすさ」を両立できます。

    「とりあえずVPN」からの脱却

    BYODが前提となった今、
    VPNを無理に当てはめ続けること自体がリスクになりつつあります。

    SmartGateのような仕組みは、

    • 情シスの運用負荷を下げ
    • 現場の抵抗感を減らし
    • セキュリティ設計をシンプルにする

    現実的な選択肢の一つと言えるでしょう。

  • アタックサーフェースマネジメント(ASM)とは?攻撃対象領域の爆発的増加とゼロトラスト時代に求められる新常識

    アタックサーフェースマネジメント(ASM)とは?攻撃対象領域の爆発的増加とゼロトラスト時代に求められる新常識

    背景 ― なぜ今、ASMが注目されているのか

    企業のセキュリティ戦略はここ数年で大きく変化しました。
    とくに以下4つの潮流が、攻撃対象領域(Attack Surface)を劇的に拡大させています。

    ① クラウドシフトによる“外部公開資産”の増加

    従来は社内ネットワーク内に閉じていたIT資産が、

    • AWS
    • Azure
    • GCP
    • 各種SaaS(Google Workspace、Microsoft 365、Salesforce など)
      といったクラウドへ移行したことで外部からアクセス可能な状態になる資産が増加しました。

    この結果、「公開されていることに気づいていないシステム」が生まれやすくなりました。

    例:

    • 検証用に立てたEC2を閉じ忘れて外部公開のまま放置
    • S3バケットが“Public”設定のまま残る
    • 未使用のDNSレコードが残っている
      こうした“忘れられた資産”は攻撃者の格好のターゲットです。

    ② SaaSの氾濫とShadow ITの増加

    近年、企業は数十〜数百種類のSaaSを利用しています。
    しかし、その全てを情報システム部門が把握しているとは限りません。

    • 営業部が勝手に使い始めたSaaS
    • 無料試用のまま放置されたアカウント
    • パスワード弱いまま運用されている個別SaaS

    こうした“見えない外部資産”が攻撃対象領域を急激に広げます。

    影響:
    攻撃者は、企業が知らない公開SaaSや外部サービスから侵入しようとします。
    守る側が知らない入口は守れません。

    ③ テレワークによる境界の喪失

    「オフィスという強固な境界」を前提とした時代は終わりました。

    • 社員がどこからでも社内システムにアクセス
    • 個人デバイスからアクセス
    • VPNやリモートデスクトップの利用増加

    アクセス経路が多様化したことで、管理しきれない“入口”が大量に生まれています。

    ④ 攻撃者のスキャン技術の進化

    攻撃者は今、企業と同じように

    • 自動化された資産スキャンツール
    • 外部公開情報のクローリング
    • サプライチェーン経由の弱点調査
      を行っています。

    つまり攻撃者は、企業自身よりも企業の公開資産に詳しいケースが増えているのです。

    この環境で必要となるのが、
    “攻撃者より先に弱点を見つける” ASM です。

    アタックサーフェースマネジメント(ASM)とは ― 企業の“外部から見える姿”を常に把握する仕組み

    ASMとは、
    企業が外部に公開している資産を攻撃者視点で棚卸しし、リスクを継続的に削減するプロセスです。

    「攻撃される入口(Attack Surface)」は、企業が意図して作ったものだけでなく

    • ミス設定
    • 放置資産
    • Shadow IT
    • サプライチェーンの資産
      など多様化しています。

    ASMはそれらを包括的に発見します。

    ASMが行う主な活動

    1. 継続的な資産発見

    企業が知らない外部資産を自動でスキャンし、

    • ドメイン
    • サブドメイン
    • IPアドレス
    • クラウド環境
    • 公開中のアプリケーション
      などを洗い出します。

    攻撃者が利用するようなスキャン技術を使うため、
    **「攻撃者が知っている資産」=「企業側が先に把握できる」**ようになる点が特徴です。

    2. Shadow IT の検知

    利用申請されていないクラウド環境やSaaSを発見します。

    例:

    • 個人のクレジットカードで契約されたSaaS
    • 別部署が独自で立てたWebサービス
    • DNSだけ残っている使われていないドメイン

    Shadow IT は情報漏洩の大きな原因の1つであり、ASMでの可視化が不可欠です。

    3. 脆弱性の評価と優先順位付け

    発見した資産ごとに以下を分析:

    • 使用しているソフトウェアのバージョン
    • 脆弱性の存在(CVE)
    • 公開ポート
    • SSL証明書の状態
    • 設定ミス(誤った公開状態)

    そのうえで、
    “攻撃される可能性が高い部分から優先的に修正する”
    という順番まで提示します。

    4. 攻撃対象領域の削減(Attack Surface Reduction)

    発見した弱点に対して、

    • 不要な公開を閉じる
    • 設定を修正する
    • アカウントを削除する
    • 証明書を更新する

    など、入口を最小化するためのアクションを行います。

    これにより攻撃者から見える企業の“表面積”をどんどん縮小できます。

    ASMとゼロトラストの関係 ― ゼロトラストの前提条件を作る仕組み

    ゼロトラストが進む中で、
    「常に認証する」「端末を信頼しない」など、制度や仕組みを整えることが重視されますが、
    その前提として “守るべき資産を正確に把握していること” が必須です。

    ASMはこの前提を満たすための重要な機能を果たします。

    ゼロトラスト × ASM が必要な理由

    • IDや端末を厳密に管理する前に、誰がどの資産にアクセスしているか把握する必要がある
    • 不要な外部公開資産を閉じることで認証ポイントを減らす
    • ゼロトラストのポリシーを適用すべき対象を明確化できる

    ゼロトラストは「入口の制御」、
    ASMは「入口の棚卸しと削減」。

    両者は非常に相性が良く、片方が欠けると十分な効果が得られません。

    ASMとVPNの関係 ― VPNの“入口問題”の可視化に効く

    VPNは便利な一方で、常に攻撃対象となるリスクがあります。

    • VPNゲートウェイ自体が外部公開の標的
    • 退職者のアカウントが残る
    • パスワード使い回しによる侵害
    • SSL-VPNの脆弱性(Pulse Secure、FortiGateなどの事例多数)

    ASMはこれらの

    • 公開状態
    • 脆弱性
    • 証明書の期限
    • 想定外のポート公開
      を発見し、削減を促します。

    VPNを安全に運用するための「入口監査」の役目を果たします。

    ASMとセキュアブラウザの関係(補完ソリューションとして)

    セキュアブラウザは、
    企業資産に“どう安全にアクセスするか”を担うソリューションであり、
    ASMとは直接競合しないどころか、補完関係にあります。

    • ASM → 攻撃対象領域を可視化・削減
    • セキュアブラウザ → ユーザーが安全にアクセスする環境を構築

    ASMで入口を整理したうえで、
    セキュアブラウザでデータ漏洩リスクを抑える、
    という流れが最も効率的なセキュリティ設計です。

    最後に ― ASMで入口を最適化し、SmartGateで安全なアクセス環境を実現

    ASMが担うのは、
    「攻撃者に見える企業の姿を正しく知り、不要な入口を減らすこと」 です。

    そして SmartGate のようなセキュアブラウザは
    必要な入口からのアクセスを安全にコントロールすること
    を担います。

    • ASM → 入口を最小化
    • SmartGate → 最小化した入口を安全に利用する環境を提供

    この組み合わせが、
    境界が存在しない現代のセキュリティにおいて最も合理的なアプローチと言えます。