🦆
VPN Gate を調べてみる
なぜ作成したのか
- 少し前に中国出身の社員さんが一時帰国中にリモートワークしたいという相談があった。
- 当時、いろいろ確認した結果GFWにより各種サービス(GoogleWorkspaceやFigmaなど)に接続できないため、超限定的な手段で最低限のコミュニケーションのみ許可し、通常勤務としては難しいと回答した。
- その後現地通信企業の提供するSIMや認可の下りたVPNサービスを利用するなど接続を実現できる方法は見つかるものの、通信は何らかの方法で国家の監視下にある状況は維持しなければならないことを思い知る。
- そんな中筑波大学が運営しているVPN Gateなるサービスを目にしたので調べてみようと思い立った次第。
参考
質問(to ChatGPT)
Webサービス開発を生業にする企業の情シス担当者です。
GoogleWorkspaceを中心に、Slack, GitHub、Figmaなどクラウドネイティブな開発環境を前提としています。
今後中国からのリモートワークの可能性を考え、「VPN Gate」による接続によりエンジニア業務が委託可能か検討しています。
主にコンプライアンス、セキュリティの観点で検討し、実現可能性について論じてください。
回答
ありがとうございます。あなたのようにクラウドネイティブな環境で業務を展開している企業にとって、中国からのリモートワーク受け入れは非常にセンシティブなテーマです。以下に、VPN Gateを利用して中国から開発業務を委託する場合の実現可能性 について、コンプライアンス と セキュリティ の観点で詳細に検討します。
🧩 前提:VPN Gateとは?
「VPN Gate」は、筑波大学によって提供されている 学術目的の実験的VPNサービス で、SoftEther VPNを使った ボランティアベースの中継ノード を世界中に持つ「公開VPN中継ネットワーク」です。
✅ 特徴:無料・匿名接続・中国のグレートファイアウォール(GFW)回避に成功する例も多い
❌ 問題:通信内容は中継ノードの管理者により 傍受可能 、安定性に欠ける
🔐 セキュリティの観点
【1】VPN Gateのリスク
| 項目 | リスク内容 |
|---|---|
| 通信の傍受 | VPN Gateでは、中継ノードを誰でも提供できるため、悪意ある運営者がMITM攻撃(中間者攻撃)を仕掛ける可能性あり。エンジニアが扱うGitHubのソースコード、Figmaの設計情報、Slackのチャット内容が漏洩リスクに晒される。 |
| IPアドレスの不安定性 | ノードは常に変化しており、同一IPからの接続維持が困難。結果として、Google WorkspaceやGitHubなどが「不審なアクセス」としてブロックする可能性がある。 |
| 暗号化強度の不透明性 | ノードによっては弱い設定や旧バージョンのVPNサーバが稼働しており、セキュリティレベルが一定でない。 |
【2】組織として取るべき対応
- VPN Gateの利用は、セキュリティポリシーで明示的に禁止 すべき。
- やむを得ず中国からアクセスする必要がある場合は:
- 自社管理のVPN(OpenVPN、WireGuard)を構築
- VPNゲートウェイはZero Trustアーキテクチャ(ZTNA)で保護
- アクセスはMFA+端末制御(MDM、EDR)とセットで実施
📜 コンプライアンスの観点
【1】データの国外移転と保護
- 中国におけるリモート作業では、日本からみると「国外委託」に該当。
- Google Workspace上のデータが中国のエンジニアに見られる=第三国提供となり、以下の規制に関わる:
| 規制名 | 関連内容 |
|---|---|
| 個人情報保護法(日本) | 委託先が外国にある場合、一定の安全管理措置や契約義務が発生(第28条など) |
| 顧客契約(NDA等) | クライアントが外部委託・海外開発を制限しているケースがある |
| 中国のサイバーセキュリティ法 | 中国国内からのインターネット接続には制限があり、VPNの利用が合法とは限らない |
【2】懸念される実務上の問題
- VPN Gateのような手段で接続している場合、「不正アクセス」 と見なされるおそれがある
- 万が一情報漏洩が起こった際、監査トレースの取得が困難
- 複数のSaaSベンダー(Google、Slackなど)の 利用規約違反の可能性 (例:正当なアクセス手段以外の使用)
✅ 代替案(推奨される対応)
| 方法 | 内容 | メリット・リスク |
|---|---|---|
| 企業専用VPNサーバ構築 | 自社管理のOpenVPN/WireGuardサーバを日本国内に設置し、エンジニアに接続情報を提供 | 安定性・暗号化の強度確保、通信ログ管理可能 |
| ZTNAソリューション導入 | Cloudflare Access、Tailscale、Google BeyondCorpなどを活用し、ゼロトラスト前提でアクセス制御 | 端末識別・MFA・アプリケーション単位での制御が可能 |
| VDI(仮想デスクトップ)方式 | 日本国内のVDI環境にアクセスさせ、コードやデータをローカルに持たせない方式 | 情報漏洩リスクが低く、セキュリティポリシーの強制が容易 |
🔍 結論:VPN Gateによる中国からの業務委託は非推奨
- セキュリティ:通信の傍受リスクが高く、クラウドネイティブ環境において重大な情報漏洩リスクとなる
- コンプライアンス:国外委託・VPN利用の不透明性が法的責任や信頼性低下を招く
- 実現可能性:安定性・再現性に乏しく、業務継続性や監査性が担保できない
➡ 業務委託自体は可能だが、VPN Gateの使用は避け、自社でセキュアなリモートアクセス環境を設計・運用することが必須です。
所感
- 中国のセキュリティの考え方からして合わないはずだよな、と思ったけれどChatGPTくんも同じ結論だった。
- 基本的に抜け穴を探すよりも、国家の監視下にあることを前提に、委託できる業務を選定するほうが建設的だと思う。
Discussion