警察庁の端末1台に外部から不正アクセス46回 情報流出は確認されず
https://mainichi.jp/articles/20201127/k00/00m/040/405000c
VPN使ったら安全ということではないのですよ。残念ながら、境界防御でなんとかなっていたのは20世紀まで。
VPNゲートウェイの認証情報が漏れてしまえば、境界なんて無いのも一緒。
結局は、認証基盤を強固にするのが大事。
それには、認証基盤に、多要素認証の導入が必要。逆にいえば、多要素認証し、その認証情報を使って、アプリケーションやリソースへのアクセスを適切に制御していれば、情報漏洩に対して、もっとも費用対効果の高い対策を実施していると言い切って良いと思う。
難しいのはVPNは外部からのアクセスになるわけで、VPNへの認証認証基盤は、外部、つまりは、インターネット側に存在しなければならない。
となると、独自の実装というよりも、企業向け ID as a service の利用が現実的。そうなると、やはり、Google Cloud Identity、もしくは、Microsoft Azure Active Directory の2択。独立したサービスも多数存在するけれど、結局、Google WorkspaceかMicrosoft 365(Office 365)が必要になるわけで、GoogleもしくはMicrosoftからの選択になるはず。