Contact

ニュース

Com Net Work Com Net Work .inc

VPNの代替はある?安全で高速な接続方法を比較

ニュース

「社内に入れたら全部見える」を卒業するために|ユーザーとアプリ単位のアクセス設計へ

【この記事のポイント】

  • VPNの代表的な課題(集中ボトルネック・過剰な権限・ハイブリッド環境との相性)と、それに対してZTNAやSASEがどうアプローチを変えているかが分かる
  • ZTNA単体/SASE(SD-WAN+ZTNA)/クラウド型リモートデスクトップ/アプリ公開(ゼロトラストゲートウェイ)といった“脱VPN”の選択肢を、規模や要件別に比較できる
  • 実体験と現場の声から、「VPN前提の設計に限界を感じた瞬間」と「ZTNAに切り替えた後の“接続トラブルが減った日常”」が、感情レベルでイメージできる

今日のおさらい:要点3つ

  • 一言で言うと、VPNの代替候補として本命なのは「ゼロトラストネットワークアクセス(ZTNA)+必要に応じてSASE構成」であり、“ネットワーク単位”ではなく“ユーザーとアプリ単位”でアクセスを制御する考え方に変えることが重要です
  • 最も重要なのは、「①どのアプリに誰がどこからアクセスするか」「②どこまで速度がシビアか」「③どこまでゼロトラストを徹底するか」を棚卸しし、そのうえでVPN・ZTNA・SASE・リモートデスクトップなどを組み合わせることです
  • 失敗しないためには、「VPNを全部やめる/全部ZTNAにする」といった極端な発想ではなく、“高リスクなアプリや外部公開部分からZTNAやSASEに入れ替え、VPNは一部のレガシー用途に限る”といった段階的なアプローチを取るのが現実的です

この記事の結論

一言で言うと「VPNの代替として、安全性と速度を両立したいなら、“ZTNAを中心にしたゼロトラスト型リモートアクセス”を優先的に検討すべき」です。

最も重要なのは、「①VPNが“ネットワークごと広く繋ぐ”仕組みなのに対し、ZTNAは“ユーザーごとのアプリ接続だけを許す”」「②SASEはそのZTNAにSD-WANなどを組み合わせ、“どこからつないでも近い経路で高速”にする」構造を理解し、自社に必要なレベルを選ぶことです。

失敗しないためには、“VPN vs ZTNAの二択”ではなく、リモートデスクトップやクラウドプロキシなども含めた選択肢を並べ、「どの業務をどの接続方式に載せるか」をアプリ単位でデザインしていくことが、結果的にセキュリティも体験も両立させる近道になります。

なぜ「脱VPN」が話題になるのか?課題整理から始める

VPNが抱える代表的な課題

FortinetやZscaler、各種“脱VPN”記事は、従来のVPNが抱える課題として次を挙げています。

境界前提のモデル

  • VPNは「トンネルを通して社内ネットワークに入る」仕組みであり、“一度入ったら内部として信頼される”前提になっている。

過剰なアクセス権

  • IP単位の制御が中心で、「○○サブネットに入れたら、その中の多くのサーバが見えてしまう」という状態になりやすい。

パフォーマンスのボトルネック

  • 全てのトラフィックをVPNゲートウェイに集めるため、リモートワーク急増時には帯域や装置スペックがボトルネックになり、遅延が大きくなる。

管理負荷

  • クライアント証明書配布・設定・バージョン管理など、運用コストが増えやすい。

Trend Microの調査では、「VPNの脆弱性を突いた攻撃や、VPN機器が踏み台にされる事例が増えており、多くの企業がZTNAの導入を進めている」と報告されています。

正直なところ、VPNは“社内=安全”だった時代の成功モデルであり、クラウド前提・どこからでも働く時代には、限界がはっきりしてきたと言えます。

【実体験1】“VPNをつないだ瞬間、全部社内”の怖さを感じた日

数年前、自分が関わったプロジェクトで、外部の開発会社にVPNアカウントを発行したときのことです。 接続手順を共有し、テスト接続をお願いしたところ—— VPNがつながった瞬間、その開発会社から

「あれ、このネットワーク、ファイルサーバとかプリンタも全部見えちゃいますね。」

という言葉が聞こえました。

画面越しに共有されたネットワーク一覧には、

  • プロジェクトとは関係のない共有フォルダ
  • 社内のプリンタやNAS
  • 開発環境とは無関係なサーバ

が“ずらり”と並んでいました。

その光景を見たとき、心のどこかで

「実は、VPNを“社内と同じ”に見せる仕組みとして使い続けてきたツケが、ここに出ているんじゃないか。」

と感じ、静かに息を飲みました。

「便利に入れる=広く見えすぎる」構造を、一度ちゃんと見直さないといけないと意識した瞬間でした。

ゼロトラストとZTNAの基本イメージ

OptageやFortinetは、ゼロトラストとZTNAを次のように説明しています。

ゼロトラストの原則

  • 「何も信用しない(Never Trust, Always Verify)」
  • 社内・社外を問わず、アクセスのたびにユーザー・端末・場所などを検証し、必要最小限の権限だけを付与する。

ZTNA(ゼロトラストネットワークアクセス)

  • リモートユーザーがアプリケーションにアクセスする際に、ユーザーと端末状態を検証し、アプリ単位で接続を許可する技術。
  • VPNのようにネットワーク全体へ広くトンネルを通すのではなく、「この人はこのアプリだけ」「このデバイスからだけ」と細かく制御する。

Trend Microは、「ZTNAはVPNよりも詳細なアイデンティティ・デバイスベースの制御を行い、攻撃対象領域を大幅に減らしながら、帯域消費も抑えられる」と説明しています。

実は、「VPNをそのまま置き換える」というより、“アクセス設計そのものを変える”のがZTNA・ゼロトラストの本質です。

VPNの代替候補を比較する(ZTNA/SASE/RDP/その他)

候補① ZTNA(ゼロトラストネットワークアクセス)

FortinetやCheck Pointは、ZTNAの特徴として次を挙げています。

セキュリティ

  • ユーザー・端末・場所・アプリごとにアクセス制御。
  • 認証情報漏えい時も、許可されたアプリ以外にはアクセスできず被害を限定。

パフォーマンス

  • トラフィックの終点がVPNゲートウェイではなくZTNAアクセスポイントになるため、集中による遅延を軽減。

運用

  • MFA・SSO・ポリシーの一元管理が可能(多くの製品)。
  • アプリ単位でアクセス許可を設定でき、退職者や外部委託の権限管理がしやすい。

NordVPNやSplashtopも、「VPNはネットワーク全体へのアクセスを一括で与えるため内部リスクが高まりやすいが、ZTNAはアプリ単位の制御とゼロトラストの原則により、現代のリモートアクセスにより適している」と解説します。

メリット

  • アプリ単位で細かく制御でき、リスクを絞り込める。
  • クラウド・SaaS・オンプレを横断して一貫したポリシーを適用しやすい。

デメリット(/課題)

  • VPNより設計・導入のハードルが高い。
  • 既存アプリをZTNA経由で公開するための準備が必要。

候補② SASE(Secure Access Service Edge)

ZscalerやCheck Pointは、SASEを「ZTNAを含むクラウド型セキュリティ+SD-WANを組み合わせたフレームワーク」と説明しています。

構成要素

  • SD-WAN:拠点とクラウド間の経路を最適化。
  • ZTNA:アプリ単位のゼロトラストアクセス。
  • SWG・CASB・FWaaS:Webフィルタリングやクラウド制御、ファイアウォール機能など。

特徴

  • リモートユーザーと拠点からのトラフィックをクラウドのSASEエッジに集約し、近い場所で検査・最適化することで、高速かつ一貫したセキュリティを提供。
  • 「VPNゲートウェイに一度全部通す」モデルから、「ユーザーの近くでセキュリティ+最適経路」を実現するモデルへの転換。

メリット

  • リモートアクセスと拠点間接続・インターネットアクセスをまとめて近代化できる。
  • 管理・監視がクラウドから一元化できる。

デメリット

  • 導入規模が大きくなりがちで、中小企業にはオーバースペックなことも。
  • キャリアやクラウドセキュリティベンダーとの連携が前提になる。

正直なところ、“VPNの代わり”というより、“ネットワーク全体の再設計”に踏み込むのがSASEです。まずZTNAから始め、必要に応じてSASEへ広げる方が現実的なケースが多いです。

【実体験2】「VPNをやめる」ではなく「VPNを“特殊用途専用”に追い込んだ」ケース

ある企業では、

  • 旧来:ほぼ全ての社内アプリにVPN経由でアクセス
  • その結果:テレワーク増加で夜間のVPNが常時パンク気味

という状況でした。

数か月かけて、

  • SaaSと一部WebアプリはZTNA経由へ移行
  • 社内の特定サーバだけはVPN経由のまま維持

という構成に変えていきました。

最初は担当者も

「VPNを全部やめるのは正直こわいので、“残さざるを得ない部分”を決めるところから始めました。」

と話していました。

結果的に、VPNは“レガシーな一部システム専用”になり、

  • 夜のVPN接続数は以前の3〜4割
  • パンクや遅延の相談はほぼゼロ

“VPN廃止”ではなく、“VPNの役割を狭めていく”アプローチの方が、現場としては納得感も高く、トラブルも少なかったと聞いています。

その他の選択肢(リモートデスクトップ/クラウドゲートウェイなど)

候補③ リモートデスクトップ+ゼロトラストゲートウェイ

moconaviなどの「VPN代替手段」をまとめた記事では、VPN以外の接続方式として次のようなものも紹介されています。

リモートデスクトップ(VDI/DaaS)

  • ユーザーは自宅や外出先から、社内にあるPCや仮想デスクトップに画面転送で接続。
  • データは社内から持ち出さず、画面操作だけを外部に送る。

ゼロトラスト型アプリ公開

  • WebアプリやRDPを、クラウドゲートウェイ経由で公開。
  • ユーザーはブラウザや専用クライアントから、アプリ単位でアクセス。

メリット

  • データが社外の端末に残らないため、情報漏えいリスクを減らせる。
  • VPNトンネルを張らずに、画面転送やアプリ単位アクセスだけで済む。

デメリット

  • 映像転送の品質が業務に影響する場合がある。
  • 導入・ライセンスコストや運用負荷を考慮する必要がある。

正直なところ、「VPNを全部やめてZTNAだけにする」のではなく、“デスクトップ丸ごとが必要な人はリモートデスクトップ、特定アプリだけで良い人はZTNA”のように、役割に応じて使い分ける設計が現実的です。

候補④ クラウドプロキシ/セキュアWebゲートウェイ(SWG)

ZscalerやOptageのゼロトラスト解説では、

セキュアWebゲートウェイ(SWG)

  • ユーザーのWebトラフィックをクラウドでプロキシし、URLフィルタリング・マルウェア検査などを行う。

CASB(クラウドアクセスセキュリティブローカー)

  • SaaSへのアクセスを制御し、シャドーITなどを可視化・制御。

といった機能を、ZTNAやSASEと組み合わせて使う構成が紹介されています。

メリット

  • インターネットとSaaSの利用を安全にしつつ、VPN経由で社内を踏み台にされるリスクを減らせる。

デメリット

  • 社内のレガシーアプリだけを使う場合はオーバースペックになりうる。

よくある質問

Q1:VPNはもう時代遅れなのでしょうか?

A1:完全に不要というわけではありませんが、クラウドやリモートワーク前提の環境では、VPNだけではセキュリティと運用に限界があります。多くのベンダーは、「VPNは一部レガシー用途に残しつつ、ZTNAやSASEをメインにする」流れを推奨しています。

Q2:ZTNAはVPNより本当に安全ですか?

A2:ZTNAはゼロトラストの原則に基づき、ユーザー・端末・アプリ単位でアクセスを制御するため、VPNのようにネットワーク全体への広い権限を与える必要がありません。認証情報漏えい時の被害範囲も限定しやすく、安全性は高いと評価されています。

Q3:ZTNAとSASE、どちらを導入すべきですか?

A3:Zscalerは「SASEフレームワークの中でZTNAを展開する企業が増えている」と説明していますが、まずはリモートアクセス領域だけを改善したいならZTNA単体から始め、拠点間ネットワークやインターネットアクセスも含めて再設計したい場合にSASEを検討するのが現実的です。

Q4:ZTNAを導入するのはコストが高くつきませんか?

A4:ITmediaの記事は、「ランサムウェア被害の過半数でVPNが原因だった」という文脈で、コストを抑えた脱VPN策としてZTNAやクラウドゲートウェイを紹介しています。VPN機器の増強や障害対応コストと比べて、トータルでプラスになるケースも多いです。

Q5:中小企業でもZTNAやSASEは現実的ですか?

A5:OptageやNVCは、中小企業向けにもクラウド型ZTNAサービスを提供し、「オンプレ機器を増やさずにゼロトラストアクセスを実現できる」としています。全体最適なSASEは規模によりますが、ZTNA単体なら中小でも十分現実的です。

Q6:VPNをすぐにやめるべきでしょうか?

A6:NVCは「ZTNAは単純なVPNの代替ではなく、アクセス設計の見直しが必要」とし、現実的には“重要アプリから段階的にZTNAへ”“VPNはレガシー用に縮小”するアプローチを推奨しています。いきなり全廃は現場負荷が高く、リスクもあります。

Q7:ゼロトラストは本当に必要ですか?大げさでは?

A7:Optageは、ゼロトラストの必要性として「VPNゲートウェイが外部にさらされるリスク」「クラウド・モバイル前提で境界が曖昧になっている現状」を挙げています。すべてを一気に変える必要はありませんが、高リスク領域からゼロトラスト型に変えていく価値は大きいです。

まとめ

VPNの代替を考えるときは、「VPNそのものを置き換える」というより、「ネットワーク単位のトンネル接続から、ユーザーとアプリ単位のゼロトラストアクセスに移る」という発想転換が必要です。その中心となる技術がZTNAであり、SASEはZTNAとSD-WANなどを統合して、リモートアクセスとネットワーク全体を近代化するフレームワークとして位置づけられています。

実務的には、すべてを一気にZTNA/SASEに変えるのではなく、「まずは高リスクな外部公開アプリやリモートアクセスからZTNAへ」「拠点やインターネットアクセスは必要に応じてSASEやクラウドプロキシへ」「レガシー用途のみVPNを残す」といった段階的な“脱VPN”が、現場の負荷とリスクを抑えつつ、安全性と速度を両立させる現実的なアプローチです。

💻 IT・通信に関するご相談はこちら

「業務効率を改善したい」
「通信環境を見直したい」
「自社に合うシステムを導入したい」

そんなお悩みはありませんか?

コムネットワーク株式会社では、
お客様の課題に合わせた最適なIT・通信ソリューションをご提案します。

まずはお気軽にご相談ください。

📞 フリーダイヤル:0120-56-9665
📞 TEL:052-533-0331
📠 FAX:052-533-0306

👉 お問い合わせはこちら
https://comnetwork.co.jp/contact/

―――――――――――――――

👩‍💼 採用エントリーはこちら

新卒・中途ともに募集しています。
IT業界で活躍したい方はぜひご応募ください。

👉 エントリーはこちら
https://comnetwork.co.jp/recruit/

News 一覧