クラウドネットワーク（VPN/閉域/ゼロトラスト）を安全に設計する方法

クラウドネットワーク設計で最初に押さえるべき考え方

クラウド移行やSaaS活用が進むほど、「社内＝安全、社外＝危険」という境界の考え方は成立しにくくなります。拠点・テレワーク・協力会社・スマホからアクセスが増え、ネットワークは“つながること”自体がリスクになりがちです。だからこそ設計の出発点は、回線や装置の選定ではなく、守るべき情報と業務を先に決め、アクセスの道筋を最小化することです。

本記事では、よく検討される「VPN」「閉域（プライベート接続）」「ゼロトラスト」を対立概念としてではなく、目的別に組み合わせる前提で整理します。結論から言うと、VPNは“入口の統制”、閉域は“経路の確実性”、ゼロトラストは“継続的な確認と最小権限”が得意です。どれか一つで万能にするより、業務ごとにリスクとコストのバランスを取るのが現実的です。

想定読者の情シス・管理職の方が意思決定しやすいように、以下の順で進めます。①よくある失敗（「つながるけど危ない」）を言語化、②VPN/閉域/ゼロトラストの違いと使いどころ、③安全に設計する手順（要件→構成→運用）、④監査・事故対応に効くログと権限、⑤導入パターン例、の流れです。専門用語はできる限り噛み砕きつつ、実務でそのまま使える観点に落とします。

VPN・閉域・ゼロトラストの違いと、向いている業務

まず「何を選べばいいか」が混乱しやすい3つを、目的別に整理します。

VPNは、例えるなら「会社の裏口に鍵付き通路を増やす」イメージです。手軽にリモートアクセスを実現できますが、VPNで社内ネットワークに入れた瞬間に“社内にいるのと同じ”扱いになる構成だと、端末がマルウェアに感染した際に横展開（社内の別サーバへ次々侵入）されやすいのが弱点です。VPNは“入れた後を狭くする”設計とセットで考えます。

閉域は、「専用道路」や「工場内の搬送レーン」に近い発想です。拠点間やデータセンター連携、重要システムとクラウド間接続で、品質・遅延・監査要件が厳しい場合に向きます。一方で、閉域“だけ”では認証や端末の安全性が担保されません。閉域でつながっていても、資格情報が漏れれば正規ユーザーになりすませます。

ゼロトラストは、「社内外を問わず、通行証と健康診断を毎回確認し、行ける部屋を限定する」考え方です。ID（誰か）と端末（安全か）と状況（どこから・いつ・何を）を組み合わせて判断し、許可されたアプリやデータだけに到達させます。SaaSが多い企業や、協力会社・委託先のアクセスがある企業に特に有効です。導入範囲が広いほど効果は大きい一方、ID管理・端末管理・ログ運用を整える必要があります。

安全設計の要件定義：守る対象・業務・リスクを棚卸しする

ネットワーク設計で遠回りを防ぐには、最初に「どの業務の、どのデータを、誰が、どこから触るか」を棚卸しします。ここが曖昧だと、VPNを増やして終わり、閉域を引いて終わり、という“つながるだけ”の投資になりがちです。特に中小企業や、情シスが少人数の組織では、業務起点で優先度を付けるのが現実的です。

棚卸しは難しく考えず、次の5点を埋めるだけで設計の精度が上がります。

• 重要資産：顧客情報、会計、設計図、ソースコード、人事、研究データなど
• 業務フロー：どのシステム（SaaS/社内サーバ/クラウド）を使うか
• 利用者：社員、管理者、委託先、派遣、海外拠点など
• 利用環境：社内LAN、在宅、出張先、工場、スマホ、共有PCなど
• 許容できないこと：停止（可用性）・漏えい（機密性）・改ざん（完全性）のどれが致命的か

次に、代表的な脅威を“自社に当てはめて”整理します。例えば、パスワード使い回しによるアカウント乗っ取り、委託先端末の感染、退職者アカウントの放置、設定ミスによる公開、ログがなく原因不明、などです。ここでのポイントは、脅威を列挙することではなく「どの業務で起きると致命的か」を決めることです。致命度が高い業務から、ゼロトラストの適用や閉域の利用、厳格な認証を優先できます。

最後に、要件として落とすときは「最小権限」「分離」「可視化」を言葉にします。最小権限は“必要な人に必要な時間だけ”、分離は“業務ごとに通路を分ける”、可視化は“誰が何をしたかを追える”。この3つが後述のVPN/閉域/ゼロトラスト設計の共通の土台になります。

アーキテクチャ設計：分離・認証・暗号化・ログをセットで考える

要件が固まったら、構成（アーキテクチャ）を設計します。ここでよくある失敗は「ネットワークの図はあるが、認証とログが別物」になっていることです。安全性は、回線・経路（ネットワーク）だけでなく、ID・端末・運用（監視と対応）で決まります。“つなぐ”と同時に“止める・検知する・追える”を設計します。

ネットワーク分離（セグメンテーション）

VPNでも閉域でも、内部がフラット（全部が見える）だと侵害時の被害が広がります。業務単位で分離し、通してよい通信だけを許可します。例として、経理システム、開発環境、社内ファイル、製造設備、管理系（AD/IdP/監視）のように分け、相互通信は最小にします。クラウドでも同様に、VPC/VNetの分割、サブネット、ルート、セキュリティグループ/NSG、FWで境界を作ります。

認証とアクセス制御（ID中心）

ゼロトラストの中核はIDですが、VPN/閉域でもIDは重要です。推奨は、SaaSも含めて統一したID基盤（IdP）を中心に、MFA（多要素認証）を標準化することです。さらに管理者操作は強いMFA、条件付きアクセス（国・時間・端末状態で制御）、短寿命セッション、特権IDの分離を行います。VPNの場合は「VPN接続＝社内の誰でも見える」にならないよう、接続後の到達先をユーザー属性で制限します。

端末の安全性（デバイス管理）

在宅やBYODが混ざると、端末が最大の弱点になります。最低限、「画面ロック」「ディスク暗号化」「OS/ブラウザ更新」「ウイルス対策」「管理者権限の抑制」「紛失時の遠隔ワイプ」を揃えます。ゼロトラストでは端末の準拠状態（例：更新済み、暗号化済み）を満たす場合のみアクセス許可する設計が効果的です。閉域であっても、端末が感染していれば内部で被害が起きます。

暗号化と鍵の扱い

経路暗号化はVPNやTLSで担保できますが、重要なのは「どこで復号できるか」です。管理者が見られる範囲、ログに平文が残らないか、バックアップが暗号化されているか、鍵の保管（KMS/HSM等）と権限が分離されているかを確認します。暗号化は“設定したつもり”が事故の原因になりやすいため、棚卸しの段階で「守る対象」の暗号化要件を決めておきます。

ログと監視（検知と追跡）

何か起きたときに調査できない設計は、被害を長期化させます。VPNログ、FWログ、IdPの認証ログ、端末管理のイベント、クラウド監査ログ、SaaS監査ログを集約し、「誰が・いつ・どこから・何にアクセスしたか」を追えるようにします。最低限、異常な国からのログイン、短時間での大量失敗、深夜の管理者操作、普段触らないデータへのアクセスをアラートにします。予算がある企業はSIEMやSOARで自動化すると運用が回ります。

導入手順：VPN/閉域/ゼロトラストを段階的に整えるロードマップ

理想形を一気に作ろうとすると、設計も運用も破綻します。特に情シスが少人数の場合、段階導入が成功しやすいです。ここでは「今あるものを活かしながら安全性を上げる」順序を示します。ポイントは、先にIDとルールを整え、次に経路を最適化し、最後に運用を自動化することです。

1. 現状把握：接続経路（VPN/拠点間/クラウド）、公開されている入口、利用SaaS、委託先アクセス、管理者アカウントの棚卸し
2. ID統一とMFA：IdPを中心にSaaSをSSO化、MFAを全社標準（特権は強化）、退職・異動の権限剥奪を自動化
3. 端末基準の策定：社給端末の管理（MDM/EDR等）、最低限のセキュリティ基準を定義し、未準拠はアクセス制限
4. ネットワーク分離：重要系・開発系・端末系・管理系を分け、通信許可を絞る。VPNは到達先を限定
5. 閉域や専用接続の適用：遅延や安定性が必要な拠点間、重要データ連携、バックアップ経路などに限定して導入
6. ゼロトラストの適用拡大：まずは高リスク業務（経理、顧客情報、管理者操作）から“アプリ単位アクセス”へ移行
7. ログ集約と運用：監査ログを中央へ、アラートのチューニング、定期レビュー、インシデント手順書の整備

導入を進める際に、現場から出やすい反発は「面倒」「遅い」「つながらない」です。ここは設計で解決できます。例えば、MFAはプッシュ通知や生体認証を採用し、頻繁に認証させない条件（信頼できる端末・場所）を設定する。VPNは常時接続より、業務アプリ単位のアクセスに寄せる。閉域は全部に適用せず、必要な経路に限定する。こうした工夫で、セキュリティと業務効率の両立ができます。

失敗しない運用：権限管理・委託先・変更管理・インシデント対応

安全な設計でも、運用が崩れると短期間で形骸化します。特に「誰が何にアクセスできるか（権限）」と「設定変更」が事故の温床です。ここでは、監査にも事故対応にも効く運用の型をまとめます。

権限は“人基準”ではなく“役割基準”で

個別に権限を付け足していくと、退職や異動で剥がし忘れが起きます。役割（経理担当、営業、開発、外部委託など）ごとに権限セットを作り、配属で付与・解除を自動化します。特権（管理者）権限は通常業務アカウントと分け、必要なときだけ昇格させる仕組みが有効です。「常に管理者」は最も避けたい状態です。

委託先・協力会社のアクセスを前提に設計する

外部の人が関わる場合、VPNで社内に入れてしまう設計はリスクが高くなります。ゼロトラストの考え方で、委託先には「必要なSaaS/アプリだけ」にアクセスさせ、端末要件を満たさない場合はアクセス不可にするのが基本です。どうしてもVPNが必要な場合でも、委託先用のセグメントを分け、到達先を限定し、作業時間帯を制限し、操作ログを必ず取得します。

変更管理：設定ミスを“仕組みで減らす”

クラウドでは、手動設定の積み重ねが事故につながります。推奨は、ネットワークやセキュリティ設定をコード化（Infrastructure as Code）し、レビューと承認フローを通すことです。難しければ、最低限「変更申請」「差分の記録」「ロールバック手順」を整えます。小さな変更でも、VPNの許可範囲やFWルールの追加が漏えいにつながるため、例外は期限付きにします。

インシデント対応：検知から封じ込めまでの“時間”を短く

事故はゼロにはできない前提で、「気づくのが遅い」「止めるのが遅い」を減らします。具体的には、アカウント凍結手順、端末隔離（EDR等）、VPNセッション遮断、鍵のローテーション、重要ログの保全、関係者連絡、顧客対応のテンプレートを用意します。演習（机上訓練）を年1回でもやると、実際の対応スピードが大きく改善します。

ケース別：どれを選ぶ？現実的な構成パターン

ここまでの考え方を、よくある3パターンに落とします。自社の状況に近いものを起点に、段階的に強化してください。重要なのは、VPN/閉域/ゼロトラストを“どれか一つに決める”のではなく、業務・データ・相手（社員/委託先）ごとに使い分けることです。

パターンA：まずはVPN中心（ただし到達先を絞る）

拠点が少なく、社内サーバが残っていて、急いでリモートアクセスを整えたい企業向けです。VPNを導入するなら、社内ネットワーク全体に入れるのではなく、業務に必要なサーバだけに到達できるように設計します。MFAは必須、端末の最低基準も設定します。ログはVPN接続と認証ログを必ず集め、異常検知を作ります。将来的にゼロトラストへ移行しやすいよう、ID統一を先に進めます。

パターンB：重要系だけ閉域＋その他はインターネット（ゼロトラストで保護）

基幹系や製造、拠点間の通信品質が重要で、予算を投下できる企業に向きます。拠点間・クラウド間の重要連携は閉域で安定化しつつ、日常業務はSaaS中心にしてゼロトラストで保護する構成です。閉域は万能ではないため、閉域上でもID・端末・ログを厳格にします。監査対応（誰がアクセスしたか、変更したか）の説明がしやすいのも利点です。

パターンC：SaaS中心はゼロトラストを軸に（VPNは最小限）

Microsoft 365、Google Workspace、各種SaaSが中心で、社内に守るべきサーバが少ない企業に適します。アプリ単位のアクセス、条件付きアクセス、端末準拠、強固なMFA、DLP（持ち出し制御）などを組み合わせ、ネットワーク依存を下げます。VPNは、どうしても必要な社内システムや一時的な保守作業に限定します。結果として運用がシンプルになり、テレワークにも強い構成になります。

どのパターンでも共通する“やってはいけない”は、例外が増え続ける状態です。「一時的に開けた穴」「委託先のための恒久権限」「管理者の共有アカウント」などは必ず借金になります。例外は期限付き・理由付き・ログ付きで扱い、定期的に棚卸ししましょう。

まとめ

クラウドネットワークを安全に設計するには、VPN・閉域・ゼロトラストを“流行語”で選ぶのではなく、守るべき業務とデータから逆算することが重要です。VPNは入口を作るだけで終わらせず、到達先の最小化とMFA・ログを必ずセットにします。閉域は品質と監査に強い一方、IDや端末が弱いと突破されるため、認証・権限・監視を同時に整えます。ゼロトラストは、IDと端末状態を軸にアプリ単位でアクセスさせ、委託先やテレワークを含む現代の働き方に適します。

実務上の近道は、①棚卸しで優先度を決め、②ID統一とMFAを先にやり、③端末基準と分離を進め、④必要なところだけ閉域を適用し、⑤ログ運用で検知と追跡を強化する、という段階導入です。「つながる」だけでなく「止める・気づく・説明できる」まで設計することで、事故にも監査にも強いクラウドネットワークになります。