VPN利用企業におけるアクセス管理の課題とは?~情シス担当者が直面する5つの悩み~

 在宅勤務や社外からの業務対応が増えたことで、VPNは今も多くの企業でリモートアクセスの入口として使われています。一方で、VPNを運用する情シス担当者からは、アカウント管理や権限管理、ログ確認、監査対応に関する悩みが多く聞かれます。本記事では、VPN利用企業のアクセス管理で起こりやすい5つの悩みを整理します。

関連記事:
「VPNとは?〜概要や仕組み、メリットから課題までわかりやすく解説〜」

情シス担当者が直面する5つの悩み

誰がどのシステムにアクセスできるのか把握しづらい

VPNアカウント、社内システム、SaaS、ファイルサーバーなどが別々に管理されていると、誰がどのシステムにアクセスできるのかを正確に把握しづらくなります。

特に、部署ごとにSaaSを契約している場合、情シスが把握していないアカウントが残っていることもあります。権限一覧をExcelで管理していても、異動や退職のたびに手作業で更新する必要があり、実態とずれやすくなります

よくある悩みは、次のようなものです。
・異動した社員が前部署の共有フォルダをまだ見られる
・ベンダー用アカウントが残っているが、管理者が分からない
・部門が独自に契約したSaaSを、情シスが後から知る
・権限一覧のExcelが複数あり、どれが最新か分からない

関連記事
「ID管理とは?メリットやシステム選定ポイントをわかりやすく解説(2025年5月更新)」

退職者・異動者のアカウント削除が遅れやすい

退職者や異動者のアカウント削除・権限変更が遅れると、不正利用や情報漏えいのリスクにつながります。

VPNアカウントだけでなく、Microsoft 365、SaaS、ファイルサーバー、管理者権限、保守用アカウントなど、確認すべき対象は多岐にわたります。手作業で対応している場合、どうしても削除漏れや対応遅れが発生しやすくなります。

特に、部門ごとにSaaSを導入している企業では、情シスが把握していないアカウントが残りやすく、シャドーITの問題にもつながります。

よくある悩みは、次のようなものです。
・退職者のSaaSアカウントだけ削除し忘れていた
・異動者が前部署のシステムにまだログインできる
・共有アカウントや保守用アカウントがチェックリストに入っていない
・退職連絡が情シスに届いた時点で、すでに最終出社日を過ぎている

関連記事:
「SaaSの増加が招くシャドーITと認証管理の課題とは」
「2026年、企業が直面する「ID管理」の限界点。異動・入社期を乗り切るID管理自動化ツールの活用」

VPN接続後のアクセス範囲が広くなりやすい

VPNは、社外から社内ネットワークへ接続するための仕組みです。しかし、設定によってはVPN接続後に社内ネットワークの広い範囲へアクセスできてしまうことがあります。

その場合、VPNアカウントが不正利用された際に、被害範囲が広がるリスクがあります。本来は、ユーザーや部署、業務内容に応じて必要なシステムだけにアクセスを許可する設計が重要です。

よくある悩みは、次のようなものです。
・VPNにつなぐと、不要なサーバーまで見えてしまう
・一時的に付与した権限が、そのまま残っている
・ベンダー用アカウントのアクセス範囲が広すぎる
・前任者が設定したファイアウォールルールの理由が分からない

関連記事:「ZTNA(ゼロトラストネットワークアクセス)とは?」

端末や接続場所に応じた制御が難しい

現在は、会社貸与PCだけでなく、スマートフォン、タブレット、外部委託先の端末など、さまざまな端末からアクセスが発生します。接続場所も、自宅、外出先、出張先、海外拠点など多様です。

そのため、端末の状態や接続場所に応じてアクセスを制御したい場面が増えています。たとえば、会社管理端末だけを許可する、通常と異なる地域からの接続を制限する、管理者権限を持つユーザーには追加認証を求める、といった対応です。

よくある悩みは、次のようなものです。
・私物端末からもVPN接続できてしまう
・委託先端末のセキュリティ状態を把握できない
・海外や出張先からの接続制御が難しい
・例外的に許可した端末やIPアドレスが残り続けている

関連記事:「多要素認証(MFA)とは?仕組み・メリット・導入のポイントを解説」

ログ確認・監査対応の負担が大きい

インシデント対応や監査では、「いつ」「誰が」「どこから」「どのシステムへ」アクセスしたのかを確認する必要があります。

しかし、VPN装置、認証基盤、業務システム、SaaS、ファイルサーバーなどにログが分散していると、確認作業に時間がかかります。ログの保存期間や形式がシステムごとに異なる場合、Excelで手作業で突き合わせることもあります。

よくある悩みは、次のようなものです。
・監査前に慌てて権限一覧を作成している
・複数システムのログ確認だけで時間がかかる
・必要なログがすでに削除されていた
・ログの場所や確認方法を知っている人が限られている

関連記事:「【2025年最新】内部統制におけるアクセス管理とは?概要と対策をわかりやすく解説」

VPN運用でアクセス管理を見直すポイント

ここまで、VPN利用企業が抱えやすい5つの悩みを見てきました。

多くの企業では、VPNを導入した当初は問題なく運用できていても、働き方やシステム環境の変化により、少しずつ管理が複雑化していきます。

アクセス管理を見直す際には、まず以下のポイントを確認してみるとよいでしょう。

ユーザーと権限を棚卸しする

まずは、現在どのユーザーにどの権限が付与されているのか確認することが重要です。

VPNアカウント、社内システム、SaaS、ファイルサーバー、管理者権限などを棚卸しし、不要なアカウントや過剰な権限が残っていないか確認します。

特に、退職者、異動者、長期間利用されていないアカウントは重点的に確認する必要があります。

入社・異動・退職に伴うID管理を仕組み化する

アカウント管理を手作業に依存していると、どうしても抜け漏れが発生しやすくなります。

人事情報と連携し、入社時のアカウント作成、異動時の権限変更、退職時のアカウント停止を仕組み化することで、情シス担当者の負担を減らしながら、セキュリティリスクを抑えることができます。

VPN接続後のアクセス範囲を見直す

VPNに接続できることと、社内のあらゆるシステムへアクセスできること分けて考える必要があります。

部署、役職、業務内容に応じて、必要なシステムだけにアクセスを許可する設計が重要です。

また、一時的に付与した権限には期限を設け、定期的に見直す運用も必要です。

認証だけでなく認可も強化する

アクセス管理では、本人確認を行う認証だけでなく、「そのユーザーにそのシステムを利用させてよいか」を判断する認可も重要です。

特に、社外からのアクセスや機密性の高いシステムへのアクセスでは、ユーザー、端末、場所、時間などの条件をもとに、アクセス可否を判断できる仕組みが求められます。

ログを一元的に確認できる状態にする

ログは、インシデント対応や監査対応に欠かせない情報です。

VPNの接続ログだけでなく、認証ログ、業務システムのアクセスログ、SaaSの利用ログなどを確認できる状態にしておくことで、問題発生時の調査をスムーズに進めやすくなります。

VPNの見直しは、単にVPNをやめるかどうかではなく、ネットワーク構造やアクセス制御の考え方整理することが重要です。

VPNリスクやネットワーク構造の再設計について詳しく知りたい方は、以下の記事をご覧ください。

関連記事:「【警察庁データでわかる】ランサムウェア侵入の6割はVPN~いま企業に必要なのは「脱VPN」ではなく“ネットワーク構造の再設計”~」

課題に応じた解決策

VPN利用企業が抱えるアクセス管理の課題は、1つの製品だけですべて解決するというよりも、課題に応じて適切な仕組みを組み合わせることが重要です。

たとえば、ID管理が分散している場合はID管理基盤の見直しが必要です。VPN接続後のアクセス範囲が広い場合は、リモートアクセス方式そのものを見直す必要があります。オンプレミス、クラウド、SaaSが混在している場合は、ネットワークとアクセス制御を統合的に考える必要があります。

SASEやゼロトラストの考え方について詳しく知りたい方は、以下の記事をご覧ください。

関連記事:「SASE(サシー)とは?概要から製品導入までわかりやすく解説」

かもめエンジニアリングでは、VPN利用企業が抱えるID管理、リモートアクセス、アクセス制御の課題に対して、複数のソリューションを提供しています。

ID管理の煩雑さには「Keyspider」

「誰にどの権限があるのか分からない」
「退職者や異動者のアカウント削除が手作業になっている」
「複数システムのID管理に時間がかかっている」
このような課題には、クラウドID管理サービスであるKeyspiderが有効です。

Keyspiderは、ユーザー情報、組織情報、権限情報を統合的に管理し、クラウドサービスやオンプレミスの社内システムとのID連携を支援します。

入社、異動、退職に伴うIDライフサイクル管理を効率化することで、情シス担当者の手作業を減らし、アカウントの削除漏れや権限の付与ミスを防ぎやすくなります。

ID管理ツールの選び方や導入ポイントについて詳しく知りたい方は、以下の記事をご覧ください。

関連記事:「2025年5月最新版|ID管理システム4選を徹底比較!導入ポイントと選び方ガイド」

VPN接続後のアクセス範囲が不安な場合は「Keygateway C1」

「VPNに接続すると、社内ネットワークの広い範囲にアクセスできてしまう」
「システム単位でアクセスを制御したい」
「VPNに代わるリモートアクセスの仕組みを検討したい」
このような課題には、Keygateway C1が有効です。

KeygatewayC1は、VPNに代わるゼロトラスト接続サービスです。社内システムへのアクセスを、ネットワーク単位ではなく、ユーザーやアプリケーション単位で制御しやすくなります。

これにより、必要なユーザーに、必要なシステムだけを利用させるリモートアクセス環境を構築しやすくなります。

VPNに代わる安全でシンプルなリモートアクセスについて詳しく知りたい方は、以下の記事をご覧ください。

関連記事:「小規模な組織こそ「脱VPN」を―安全でシンプルなリモートアクセスを実現するには?」

オンプレ・クラウド・SaaSを横断した制御には「KAMOME SASE」

「オンプレミスの社内システムとクラウドサービスをまとめて制御したい」
「拠点、テレワーク、SaaS利用を含めてアクセス管理を見直したい」
「ゼロトラストやSASEの考え方を取り入れたい」
このような課題には、KAMOME SASEが有効です。

KAMOME SASEは、オンプレミス、クラウド、SaaSを問わず、統一されたアクセス制御を実現する国産SASEソリューションです。

VPN、クラウドサービス、社内システムが混在する環境でも、アクセス管理を一貫した考え方で整理しやすくなります。

中小企業・中堅企業におけるSASE導入の考え方について詳しく知りたい方は、以下の記事をご覧ください。

関連記事:「なぜ今SASEが必要なのか?中小企業向け国産ゼロトラスト「KAMOME SASE」」

まとめ

VPNは、社外から社内システムへアクセスするための有効な手段です。

しかし、働き方やシステム環境が変化した現在では、VPNを導入しているだけで十分なアクセス管理ができるとは限りません。

VPN利用企業では、特に以下のような悩みが発生しやすくなっています。
・誰がどのシステムにアクセスできるのか把握しづらい
・退職者・異動者のアカウント削除が遅れやすい
・VPN接続後のアクセス範囲が広くなりやすい
・端末や接続場所に応じた制御が難しい
・ログ確認・監査対応の負担が大きい

これらは、別な企業だけに起こる問題ではありません。

テレワーク、クラウドサービス、SaaS、外部委託先との連携が増えている企業であれば、どこでも起こり得る日常的な運用課題です。

まずは、自社のVPN運用において、誰が、どの端末から、どのシステムに、どの権限でアクセスしているのか整理することが重要です。

そのうえで、ID管理の煩雑さにはKeyspider、VPNに代わるゼロトラスト接続にはKeygateway C1、オンプレ・クラウド・SaaSを横断したアクセス制御にはKAMOME SASEといった形で、課題に応じた対策を検討してみてはいかがでしょうか。

VPNからゼロトラストへの移行判断について詳しく知りたい方は、以下の記事もあわせてご覧ください。

関連記事:「VPNはもう古い?ゼロトラスト移行の判断ポイントを整理」

かもめエンジニアリングでは、VPN利用企業が抱えるアクセス管理の課題に対して、現状整理からソリューション選定までご支援しています。

「VPN運用に限界を感じている」
「退職者・異動者のアカウント管理に不安がある」
「ゼロトラストやSASEを検討したいが、何から始めればよいか分からない」
このような課題をお持ちの方は、ぜひお気軽にご相談ください。
 

事業・商品・サービスに関するお問い合わせ

製品に関するお問い合わせはこちら

※フリーメールでのお問い合わせは受け付けておりません。

必須
必須
必須
必須
必須
必須
必須