VPNとは？シンクライアントとは？教えて下さい！

検索しても理解力が足りず腹に落とすことができませんでした。
お詳しい方、初心者にも分かりやすい言葉で教えて頂けますでしょうか？

数人の従業員を雇い小さな会社を経営しています。
現在、Googleのビジネス用アカウントを契約しメールや資料共有などは、普段すべてGoogleのクラウド上で行っています。従業員にはノートPCを貸与して、そこからログインさせてデータにアクセスさせています。ノートPCには社員専用の個別ログインパスワードを、Googleアカウントには個別貸与のスマホで行う2段階認証を設定してあり、万が一PCが流出しても、PC、Googleへログインできなければ、データの流出は一定防げると考えていました。

しかし例えば、クラウド上のデータをノートPC上に保存されてしまったり、もしくは自宅の環境下でGoogleへログインされてしまったりと、データ流出を完全に防げるという状態ではありません。

そのためには、「VPN接続」や「シンクライアント化」が良いのでは？というところまで拙い知識でたどり着きましたが、その言葉の正しい意味も、実際にはどうやって導入するのか、弊社の規模ではどこと契約するのがおすすめなのか、全く分かりせんでした。

そもそも、弊社には自社サーバーがありませんが、それでもこれらセキュリティ対策は可能なのでしょうか？

一番良いのは、貸与しているノートPCにログインする際は、ショートメールなどで発行できる「ワンタイムパスワード」を使用させ、PC内の作業を全てシンクライアント上で行う（言葉の使い方がこれで合っているのか不安です。）のが、セキュリティ的には安全かなと考えていますが、他に良いセキュリティ対策があれば、教えて下さい。

現在はリモートワークで従業員の自宅へノートPCを持ち帰らせ、作業をさせている状態です。

No.1 ベストアンサー 回答者： lv4u 回答日時： 2020/12/16 09:33

たぶん「VPN接続」「シンクライアント」については、現状、理解されている内容で正しいと思われます。

なお、クラウド上のデータなどを手元のＰＣに保存されるとデータ流出となる可能性があるってのは、そのとおりでしょう。

ですので、大手外資系企業では、それを防ぐためにＰＣの設定を個人で自由に変えることができなくしていたりしました。
ＰＣを起動すると、手元のＰＣに保存したプログラムやデータが全て消え去る。ＵＳＢメモリー等は使えない・・・。
仕事上の関係でＰＣの設定変更が必要であれば、ＰＣサポート部に持ち込んで、そこの部署の担当者がすべて行う。

基本的には、データ流出を恐れて、ガチガチの制限にすれば、それに比例してＰＣが使いずらくなる・・・、ってところでしょうね。


また、「これは外に出したくないし、経営上の重要データだ！」っていう情報については、自社サーバを持って、そちらでの保管が良いと思います。
でも、当然ですけど「自社サーバの子守り担当者」になれる技術を持った人が必要となります。

No.2 回答者： artoo 回答日時： 2020/12/16 21:08

何を心配するかですが、

・外部者による侵入・・・・スマホによる2要素認証で防げている
・悪意の内部者によるデータ流出・・・防げない

後者は、Googleサービスを使ってる限り防げないと思います。

もし、アクセス元IPアドレスを限定できるGoogleライクなサービスがあれば、社内からしかアクセス出来ないようにした上で、シンクライアントシステムを構築して、自宅ではシンクライアント端末からVPNで会社のデスクトップにアクセスしてそこからサービスにアクセスするようにすれば、自宅の普通のPCからはデータにアクセス出来ません。会社PCから自宅PCへのデータコピーも出来ません。

現状では、悪意の内部者によるデータ流出を防ぐためには、社内でのシステム構築（サーバーは物理的には社外に置いても良いがネットワーク的に社内）が必要です。