
営業や企画部門のリモートワークが進む一方で、「会計ソフトや給与システムが社内のパソコンでしか開けない」という理由から、経理や労務などのバックオフィス部門だけが出社を続けている企業は少なくありません。こうした課題を解決するために必ず登場するキーワードが「VPN」です。
しかし、VPNは「導入すれば安全」という魔法の箱ではありません。公的なデータによれば、サイバー攻撃の侵入口の多くがVPN機器となっている現実があります。
本記事では、VPNの基本的な仕組みから、なぜ経理・労務に深く関係するのか、そして中小企業が安全にバックオフィスのリモート化を進めるための現実的な業務設計について解説します。
VPNとは何か?会社に外から入る「専用トンネル」
通信を暗号化し、外にいる人を「社内扱い」にする技術
VPN(Virtual Private Network)は、インターネットという公道の下に、自社専用のトンネルを掘る技術だとイメージしてください。
自宅から会社のシステムに通常のインターネット経由で接続するのは、ハガキで社内書類をやり取りするようなもので、途中で見られたり改ざんされたりするリスクがあります。VPNはそこに専用トンネルを通し、中身を暗号化した装甲車でデータを運ぶ仕組みです。
さらに重要な特徴として、このトンネルの出口は会社の中にあるため、つないだ瞬間、自宅のパソコンが「社内にいることになる」という点が挙げられます。これにより、事務所のパソコンでしか開けない会計ソフトなどを自宅からも操作できるようになります。
つまりVPNには、「通信の中身を暗号化して守る」ことと、「外にいる人を社内扱いにする」という2つの機能があります。この後者が便利さの正体であり、同時にセキュリティ上の落とし穴にもなります。
なぜ経理・労務部門にVPNが関係するのか

一番重いデータを、一番外に出すというリスク
コロナ禍において、営業や企画部門はリモートワークに移行できたのに、経理部門だけは月末月初に必ず出社していたというケースは多く見られました。その理由は、会計ソフトや給与システムなどが社内のサーバーやパソコンに設置されている(オンプレミス型である)ためです。
社内システムは本来、「社内からしか触れない」ことを前提に作られており、それはセキュリティとして正しい設計でした。しかし、リモートで働くためには、外から社内に入るための「入口」を作る必要があり、その定番としてVPNが利用されてきました。
ここで注意すべきは、経理や労務が扱うデータの重要性です。給与、マイナンバー、口座情報、人事評価など、会社の中で最も漏洩してはならない機密データを扱う部署が、リモート化によって最も外にデータを出していくことになります。
バックオフィスのリモートワークは、単なる働き方の問題ではなく、システムへの「入口の設計」そのものです。ここを設計せずに「とりあえずVPNを導入する」という判断は、大きなリスクを伴います。
「VPNがあれば安全」という思い込みの危うさ
ランサムウェア侵入経路の62%がVPN機器
警察庁が発表した「令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、身代金要求型ウイルスであるランサムウェアの侵入経路の62%がVPN機器でした。リモートデスクトップと合わせると8割を超えています。守るために設置したはずの入口が、サイバー攻撃の最大の侵入口になっているのが現実です。
さらに、被害企業の6割以上が中小企業です。攻撃者は手薄な入口を機械的に探して回っているため、対策をしていない企業から順に被害に遭う構造になっています。
破られているのはトンネルではなく「門」
VPNの暗号化されたトンネル自体は頑丈ですが、破られているのはその手前にある「門」の部分です。主な原因として以下の3つが挙げられます。
- VPN機器の更新放置:機器の欠陥(脆弱性)を修正するプログラムが適用されず、古くて建て付けの悪い門が放置されている状態です。
- 弱いIDとパスワード:初期設定のまま、使い回し、多要素認証(パスワードに加えてスマートフォンへの通知などで二重に確認する仕組み)がない状態です。
- 一度入られたら社内全部に届く設計:VPNによって「社内扱い」となるため、門を1枚破られると、社内のあらゆるシステムやデータにアクセスできてしまいます。
また、退職者のアカウントが削除されずに残っているケースも、警察庁の統計で名指しで指摘されています。管理者が不在で「VPNを入れたまま誰も面倒を見ていない」状態が、最も危険と言えます。
クラウド前提・ゼロトラストという新しい考え方

「社内だから信用する」をやめる
近年、セキュリティの考え方は「ゼロトラスト」へと移行しつつあります。ゼロトラストとは、「何も信用しない」という意味です。従来の「社内は安全、社外は危険だから境界に門を建てる」という発想に対し、ゼロトラストは「社内であっても信用せず、アクセスのたびに誰が・どの端末で・何を触ろうとしているかを毎回確認する」というアプローチです。
従来型が「ビルの入口で一度社員証を見せたら中の部屋はすべてフリーパス」だとすれば、ゼロトラストは「部屋ごとにカードキーと本人確認がある」イメージです。
SaaSで完結する業務にはVPNが不要
実は、中小企業にとってもこの考え方は身近なものになっています。クラウド会計やクラウド労務などのSaaS(サース:インターネット経由で利用できるソフトウェアサービス)を利用すること自体が、ゼロトラストへの第一歩です。
これらのクラウドサービスは、最初からインターネット越しに使われる前提で設計されています。通信の暗号化、多要素認証、不審なログインの監視などをサービス提供側が行ってくれます。つまり、SaaSで完結する業務には、そもそもVPNが必要ありません。
中小企業が取るべき現実的な三段構え
業務の仕分けと守りの強化
とはいえ、長年のカスタマイズや移行コストの観点から、社内設置型のシステムを使い続けざるを得ない企業も多いでしょう。そこで、中小企業が明日から取り組むべき現実的なステップを3つ紹介します。
- SaaSで済む業務を仕分ける:経費精算、勤怠管理、労務手続きなどはSaaS化しやすく、VPNなしで安全にリモート対応が可能です。まずはVPNが不要な範囲を広げることが最も効果的です。
- 社内に残るシステムはVPNの守りを固める:どうしても社内に残るシステムについては、VPNのセキュリティを強化します。具体的には、「機器の更新を業者との契約で明文化する」「多要素認証を必ず導入する」「年2回アカウントの棚卸しを行い、退職者分を削除する」という3点セットを徹底します。
- 面倒を見る人を決める:情報システム担当者が不在の場合は、設定や監視を外部の専門業者に任せます。「入口の面倒を見る人がいない」ことこそが最大のリスクです。
VPNを導入するかどうかではなく、「どの業務を、どの形で、外から触れるようにするか」という業務設計が本質的な課題です。
まとめ
本記事では、経理・労務部門のリモートワークの入口となるVPNの仕組みと、中小企業が取るべきセキュリティ対策について解説しました。重要なポイントは以下の通りです。
- VPNは通信を暗号化し、外にいる人を「社内扱い」にする専用トンネルだが、「導入すれば安全」ではない。
- ランサムウェア侵入経路の62%がVPN機器であり、機器の更新放置や弱いパスワード、放置されたアカウントといった「門」の弱点が狙われている。
- SaaSで完結する業務にはそもそもVPNが不要。クラウドへ移行できる業務は移行し、社内に残るシステムは多要素認証やアカウント管理で守りを固める。
- リモートワークの実現は、単なる働き方の問題ではなく、業務の棚卸しとシステムへの入口をどうするかという「業務設計」の問題である。
バックオフィスのリモート対応を進める際は、まずは現状の業務とシステムを整理し、安全で効率的な形へと設計し直すことが成功の鍵となります。
バックオフィスのBPO・AI内製化のご相談
「どのツールを入れるべきか」の棚卸し・診断から、現場で本当に使われる運用設計まで。経理・労務・採用・営業事務のBPO、AIガバナンス整備までご支援します。
資料を見る