HOME > 技術ドキュメント > 中小企業向けゼロトラスト・VPN・リモートアクセス設計
中小企業向けゼロトラスト・VPN・リモートアクセス設計
執筆:株式会社エスロジカル(Webシステム受託開発・インフラ構築・セキュリティ設計)
リモートワーク普及後、「社内システムへの安全なアクセス」は多くの企業で課題になっています。
VPN の設定が複雑・管理が大変・コストが高いという声も多く、
最近は「ゼロトラスト」アプローチへの移行も増えています。
本記事では、中小企業が現実的に導入できるリモートアクセス設計の選択肢を整理します。
1. リモートアクセスの課題整理
「VPN を入れれば安全」は過去の考え方です。従来型 VPN には次のような課題があります。
- 一度接続したら社内ネットワーク全体にアクセスできる:攻撃者が VPN 接続を乗っ取ると、社内のすべてのシステムに侵入できます。
- VPN 機器・ソフトウェアの脆弱性:商用 VPN アプライアンスの脆弱性は過去に多数報告されており、パッチ適用の遅れが大きなリスクになります。
- 管理コスト:クライアント証明書・ユーザー管理・ログの維持に継続的なコストがかかります。
2. ゼロトラストとは(VPN との本質的な違い)
ゼロトラストの原則:「ネットワーク内にいるだけでは信頼しない。すべてのアクセスをリクエストごとに認証・認可する」
| 観点 | 従来型 VPN | ゼロトラスト |
|---|---|---|
| 信頼モデル | VPN 接続後は社内ネットワークを信頼 | 常に認証・認可。ネットワーク位置は信頼の根拠にしない |
| アクセス範囲 | 接続後は社内ネットワーク全体にアクセス可能 | アプリケーション・リソース単位でアクセスを制御 |
| 認証 | 接続時に 1 回認証 | リクエストごとに認証・コンテキスト(デバイス・時間・場所)も考慮 |
| クライアント要件 | VPN クライアントのインストールが必要 | ブラウザベースで利用可能なものが多い |
3. VPN 方式の比較
現状 VPN が必要な場合の選択肢を比較します。
| VPN 方式 | メリット | デメリット | 向いているケース |
|---|---|---|---|
| WireGuard | 高速・シンプル・設定が少ない・Linux カーネル組み込み | 商用サポートなし・GUI 管理ツールが少ない | エンジニア向け・自社サーバーに構築する場合(設定手順) |
| OpenVPN | 実績豊富・多機能・多数のクライアント対応 | 設定が複雑・WireGuard より遅い | 大規模ユーザー・細かいアクセス制御が必要な場合(設定手順) |
| FortiGate SSL VPN | GUI 管理・商用サポート・UTM との統合 | アプライアンスコスト高・脆弱性の継続パッチ適用が必須 | UTM 含め一括管理したい企業(設定概要) |
| ヤマハ RTX VPN | 国産・サポートが充実・設定が比較的わかりやすい | 機器コストあり・スケールに限界 | 中小企業の拠点間接続(設定概要) |
4. ゼロトラスト方式:中小企業向けの現実的な選択肢
- Cloudflare Access(Zero Trust):Cloudflare Tunnel を使ってオリジンサーバーを公開せずに、社内システムへのアクセスをブラウザ経由で提供。Google / Microsoft / GitHub の OAuth と組み合わせた MFA が容易。無料プランもあり中小企業に導入しやすいです。
- Tailscale:WireGuard ベースのメッシュ VPN。インストールしてログインするだけで使えるシンプルさが特徴。無料プランで 3 ユーザーまで。アクセス制御は比較的シンプルです。
- Microsoft Entra ID(旧 Azure AD)+ アプリケーションプロキシ:Microsoft 365 を使っている企業に向いています。条件付きアクセスポリシーで端末の状態・場所・リスクスコアに基づいてアクセスを制御できます。
5. SSL/TLS 証明書の役割
VPN でもゼロトラストでも、通信の暗号化に SSL/TLS 証明書が使われます。
- VPN サーバーの証明書:クライアントが正規のサーバーに接続していることを確認するため、VPN サーバーにも SSL/TLS 証明書が使われます。自己署名証明書は警告が出るため、本番環境では正規の SSL 証明書を使用します。
- クライアント証明書認証:より強固な認証として、クライアント側にも証明書を発行する方式(相互 TLS / mTLS)があります。OpenVPN などでサポートされています。
- 社内 Web サービスの HTTPS 化:VPN 内部の社内システムも HTTPS を使うことで、VPN トンネル内の傍受を防ぎます。
SSL証明書の一覧・購入はこちら / DV・OV・EV の違い / SSL証明書 FAQ
6. 多要素認証(MFA)の設定
VPN・リモートアクセスには MFA を必須化することを強く推奨します。
パスワードだけでは認証情報の漏えい(フィッシング・不正アクセス)に対して無防備です。
- TOTP(Google Authenticator / Microsoft Authenticator):スマートフォンアプリによる 6 桁コード認証。設定コストが低く、ほぼすべての VPN・ゼロトラストツールがサポートしています。
- ハードウェアキー(YubiKey):フィッシング耐性が最も高い認証方式。機密性の高いシステム管理者に特に推奨。
- プッシュ通知(Duo Security 等):スマートフォンへのプッシュ通知で承認するシンプルな操作感。非技術者でも使いやすい。
7. 導入コスト・管理コストの比較
| 方式 | 初期コスト | 月額目安 | 管理コスト |
|---|---|---|---|
| WireGuard(自前構築) | 低(VPS 代のみ) | 1,000〜3,000 円(VPS 代) | 中(設定・管理に技術知識が必要) |
| Tailscale(クラウド型) | ほぼ 0 | 無料〜(有料プランは $6/ユーザー/月〜) | 低(GUI で管理可能) |
| Cloudflare Zero Trust | 低 | 無料〜($7/ユーザー/月〜) | 低〜中 |
| FortiGate SSL VPN | 高(アプライアンス購入) | ライセンス費用別途 | 中(GUI あり・商用サポートあり) |
8. 設計チェックリスト
- □ リモートアクセスに MFA を必須化している
- □ VPN 接続後のアクセス範囲を最小限に絞っている
- □ VPN / ゼロトラストツールのセキュリティアップデートを定期的に適用している
- □ 退職者・異動者のアカウントを速やかに無効化する手順がある
- □ リモートアクセスのログを取得・定期確認している
- □ 社内システムは HTTPS で通信している
- □ 接続デバイスのセキュリティ要件(OS アップデート・ウイルス対策)を定めている
リモートアクセス設計・VPN 構築のご相談はエスロジカルへ
VPN 構築からゼロトラスト移行・SSL 証明書設定まで、インフラセキュリティ設計を一貫してサポートします。
お問い合わせはこちら
関連:SSL証明書 / SSL証明書 FAQ
VPN 構築からゼロトラスト移行・SSL 証明書設定まで、インフラセキュリティ設計を一貫してサポートします。
お問い合わせはこちら
関連:SSL証明書 / SSL証明書 FAQ
関連ドキュメント
- WireGuard VPN サーバー構築(Ubuntu 24.04 LTS)
- OpenVPN サーバー構築(Ubuntu 24.04 LTS)
- FortiGate 基本設定入門
- Cloudflare DNS・プロキシ設定入門