【Edge】社内サイト証明書が社内Wi-Fiでは開くのに在宅で失敗する時の切り分け方

会社の社内サイト(ポータルや業務システム)にアクセスするとき、社内Wi-Fiに接続していると問題なく開けるのに、在宅で自宅のネットワークから開こうとすると証明書エラーが表示されてアクセスできない、という状況は珍しくありません。この現象は、ブラウザや端末の問題ではなく、ネットワーク環境の違いに起因することがほとんどです。この記事では、Microsoft Edgeで社内サイトの証明書エラーが在宅時のみ発生する原因を切り分け、適切な対処方法を解説します。

社内サイト証明書が在宅で失敗する主な原因

社内Wi-Fiでは開けるのに在宅で開けない原因は、大きく分けて次の3つに分類されます。それぞれのメカニズムを理解しておくと、切り分けがスムーズになります。

内部CA(認証局)による証明書発行

社内サイトの多くは、公開の認証局(Public CA)ではなく、会社独自の内部認証局(Private CA)から発行された証明書を使用しています。この内部CAのルート証明書は、企業のグループポリシーやMDMによって社内PCの信頼されたルート証明機関ストアにインストールされています。社内Wi-Fiに接続している間は、Active Directoryドメインに参加しているPCやVPN接続時にこのルート証明書が自動的に配布されるため、ブラウザが証明書を信頼できます。しかし、在宅で社内ネットワークに直接接続していない場合、このルート証明書が端末に届いておらず、証明書チェーンが検証できないためにエラーが発生します。

DNS名前解決の違い

社内サイトのURLが内部DNSでのみ解決可能なプライベートホスト名(例:intranet.company.local)になっている場合、社外のDNSサーバーでは名前を解決できません。結果として、ブラウザはIPアドレスにたどり着けず、証明書エラーではなく「サーバーが見つかりません」といった別のエラーになります。VPN接続によって内部DNSサーバーを利用できる状態にすると解決します。

プロキシやSSLインスペクションの影響

社内ネットワークでは、プロキシサーバーがSSLインスペクション(証明書の再署名)を行っている場合があります。この場合、社内PCにはプロキシ用の独自ルート証明書が配布されており、社内サイトの証明書はそのプロキシ証明書で署名されています。在宅でプロキシを経由しないときは、そのプロキシ証明書による再署名が行われないため、ブラウザが発行元の証明書を検証できずエラーとなります。

切り分けのための確認手順

以下の手順を順番に実施することで、原因を特定できます。手順の中でエラーコードや画面の詳細を記録しておき、管理者へ報告する際に活用してください。

1. エラーの詳細を確認する:Edgeでエラーページが表示されたら、アドレスバーの鍵アイコンまたは「詳細設定」リンクをクリックし、具体的なエラーコード(例:ERR_CERT_AUTHORITY_INVALID、ERR_CERT_COMMON_NAME_INVALID)と証明書の状態を確認します。
2. 証明書の内容を確認する:エラーページの「証明書の表示」または「続行」できない場合は、別のデバイスで同じURLにアクセスして証明書の詳細を取得します。発行者(Issuer)が内部のCA名か、公開CA(例:DigiCert、Let’s Encrypt)かを確認します。
3. VPN接続を試す:在宅でも会社のVPNに接続した状態で同じサイトにアクセスできるか確認します。もしVPN経由で開けるなら、DNS解決かルート証明書の配信が正しく行われている可能性が高く、端末の証明書ストアの問題に絞り込めます。
4. 端末の証明書ストアを確認する:Windows PCの場合、コマンドプロンプトから certlm.msc を起動し、「信頼されたルート証明機関」に内部CAの証明書が存在するか確認します。なければ、管理者に配布を依頼する必要があります。
5. DNS名前解決をテストする:コマンドプロンプトで nslookup 社内サイトURL を実行し、内部DNSサーバーからの応答があるか確認します。VPN未接続時は内部IPが返ってこないはずです。
6. プロキシ設定を確認する:Edgeの設定 > システム > プロキシを開き、「自動でプロキシ設定を検出する」がオンになっているか確認します。また、社内プロキシのアドレスが手動で設定されていないか注意します。
7. キャッシュとCookieをクリアする:古い証明書情報が残っていると誤動作することがあります。Edgeの設定 > プライバシー、検索、サービス > 閲覧データを削除から「キャッシュされた画像とファイル」を削除して再試行します。

失敗パターン:手順3でVPN接続しても開けない場合は、端末自体が会社の証明書を正しくインストールできていないか、証明書の有効期限切れが疑われます。また、手順5で名前解決できても証明書エラーが出る場合は、発行者と証明書ストアのミスマッチが原因です。

状況別の比較表

条件	アクセス可否	考えられる原因
社内Wi-Fi (ドメイン参加PC)	○ 開く	グループポリシーで内部CA証明書配布、内部DNS利用、プロキシ経由でのSSLインスペクション
在宅 (VPN未接続)	× エラー	内部CA証明書未インストール、DNS解決不可、プロキシ未経由で証明書チェーン切断
在宅 (VPN接続)	○ 開くことが多い	VPNで内部DNS・証明書配布が行われ、社内と同等の環境になる
在宅 (VPN接続でもエラー)	× エラー	端末の証明書ストアが古い、または証明書の有効期限切れ、VPNの分割トンネリング設定

管理者に伝えるべき情報

原因を特定したら、情報システム部門やヘルプデスクに連絡する際に以下の情報を伝えると、解決が迅速になります。

• エラーコードの全文:Edgeのエラーページに表示される英数字のコード(例:NET::ERR_CERT_AUTHORITY_INVALID)
• アクセスしようとしたURL:完全なURL(例:https://portal.company.internal)
• 発行者の名前:証明書の詳細にあるIssuerフィールドの値
• 端末の環境:Windowsのエディションとバージョン、Edgeのバージョン、VPNソフトウェアの種類とバージョン
• 発生時刻と頻度:いつから発生しているか、毎回か不定期か
• VPN接続の有無による変化:VPN接続時と非接続時のアクセス可否

よくある質問

Q1: 社内Wi-Fiでは開くのに在宅でエラーになるのはなぜですか?

A: 社内Wi-Fiでは、Active Directoryやグループポリシーによって内部CAのルート証明書が自動的に配布され、DNSも内部サーバーを参照するため、証明書チェーンが正しく検証されます。在宅ではこれらの環境が再現されないためエラーになります。VPN接続で社内ネットワークに参加することで解決できることが多いです。

Q2: 自分で証明書をインストールしてもいいですか?

A: 絶対に行わないでください。内部CA証明書は機密情報であり、誤った証明書をインストールするとセキュリティリスクが生じます。必ず管理者の指示に従い、必要な場合は企業の公式な配布手段(自己解決ポータルやMDM)を利用してください。

Q3: Edgeの設定で「セキュリティ警告を無視」できますか?

A: できません。EdgeはChromeベースのブラウザであり、証明書エラーを無視してアクセスする機能は意図的に削除されています。回避策として、「続行」リンクが表示される場合もありますが、それは危険なサイトとみなされるため推奨されません。根本原因の解決が必要です。

Q4: 在宅でも社内サイトを安全に使う方法は?

A: 最も確実な方法は、会社が提供するVPNクライアントを正しくインストールし、接続した状態でアクセスすることです。また、会社がリモートアクセス用に別の公開URL(例:remote.company.com)を用意している場合は、そのURLと公開CA証明書を使用する場合もあります。管理者に問い合わせてください。

まとめ

社内サイト証明書が社内Wi-Fiでは開くのに在宅で失敗するのは、ネットワーク環境の違いによるものであり、端末やブラウザの単純な不具合ではありません。原因は内部CA証明書の不在、DNS解決の失敗、プロキシ証明書のミスマッチのいずれかであるケースが大半です。切り分け手順に従ってエラーコードと発行者を特定し、VPN接続で改善するかどうかを確認してください。自己判断で証明書をインストールしたり設定を変更したりせず、必ず管理者に報告して適切な対応を依頼しましょう。

🧭

Microsoft Edgeトラブル完全解決データベース ページが開かない・パスワードが消えた・動作が重いなど、Edgeの困りごとを設定・仕組みから即解消。逆引きリファレンスとして活用してください。

🔐

会社アカウント・認証トラブル完全解決データベース 職場または学校アカウント、MFA、Authenticator、VPN、権限、会社ポリシーで止まる問題を横断的に確認できます。