Network · VPN Overview

現在の設備におけるVPN構築とセキュリティレベル

現在のオフィスネットワーク設備(メインルーター:NTT RX-600MI)を基準とした、 リモートアクセスVPNの実現可否とセキュリティ対策のまとめです。

LEVEL 1
事前共有キー型VPN
(現設備で実現可能)
LEVEL 2
証明書ベースVPN
(追加機器が必要)
LEVEL 3
次世代VPN・MFA
(常時稼働端末が必要)
LEVEL 1 · 現設備で実現可能

事前共有キー型VPN(L2TP/IPsec)

現在のNTTルーターに標準搭載されている機能を利用するため、 追加費用なしで今すぐ運用が可能です。

🔐セキュリティの仕組み

ルーター全体で共通の「事前共有キー」+ 個人ごとの「ユーザー名・パスワード」の 2段階で認証します。

メリット
  • 機器の購入や新しいサービスの契約が一切不要。
  • WindowsやMacに標準で備わっている機能だけで接続可能。
!懸念点と必要な対策

情報(キーやパスワード)が漏洩した場合、あるいはPCを紛失した場合のリスクがあります。

⚑ 必須の運用ルール
  1. パスワードは推測不可能な複雑なもの(英数字記号の組み合わせ)に設定する。
  2. アカウントの使い回しはせず、必ず個人ごとに作成する。
  3. 退職者やPCの紛失が発生した場合は、速やかにルーター管理画面から該当アカウントを削除する。
LEVEL 2 · 現設備では不可

証明書ベースのVPN(OpenVPNなど)

現在の設備でできない理由

NTTルーター(RX-600MI)には、 電子証明書を発行・認証する高度な機能が備わっていません。

🔐セキュリティの仕組み

ユーザー名とパスワードに加えて、社員のPCにインストールした 「電子証明書(見えない鍵)」がないと接続できない仕組みです。

将来的に実現するために必要なこと

NTTルーターの下に、法人向けVPNルーター(TP-Link ER605、YAMAHAルーターなど/1万円〜数万円程度)を追加購入して設置し、 VPN処理をそちらに任せる必要があります。

LEVEL 3 · 現設備では不可

次世代VPN・多要素認証(Tailscaleなど)

現在の設備でできない理由

ルーター単体で完結する仕組みではなく、常時稼働する中継ポイントが必要になるためです。

🔐セキュリティの仕組み

GoogleやMicrosoftなどの社内アカウントでログインし、スマートフォンの認証アプリ等を用いた 「2段階認証(MFA)」を必須にする最もモダンな仕組みです。 パスワード漏洩のリスクがほぼゼロになります。

将来的に実現するために必要なこと

オフィスの中に、Tailscaleアプリをインストールした 「24時間365日、スリープさせずに起動し続けるパソコン(またはサーバー)」を最低1台設置する必要があります。 (少人数であればサービス自体は無料で利用可能)