導入背景
自社ではリモートワークの拡大に伴い VPN の同時接続数が上限に達し、業務時間帯に接続できない社員が発生するなど、従来のネットワークとセキュリティ構成が課題となっていました。
要件定義
セキュリティポリシー要件: 最小権限の原則を満たす必要があります。
ユーザー体験要件: リモートワーク環境で業務を円滑に行うことが可能です。
運用要件: IT チームの工数を削減し、セキュリティインシデントを防止する必要があります。
ソリューション選定
Zero Trust アプローチを選択した理由: 最小権限の原則を満たすことができ、セキュリティの強化が可能です。
Cloudflare を選んだ判断軸: Zero Trust の実現に適したソリューションであり、セキュリティの強化とユーザー体験の改善が可能です。
アーキテクチャ設計
Before/After の構成比較:
Before: 拠点間 VPN(IPsec)でオフィス⇔DC を接続、リモートユーザーは SSL-VPN クライアントで社内 NW に参加。
After: Cloudflare Tunnel で各システムをエッジ経由で公開、Access でアプリケーション単位の認証・認可を実施、Gateway でインターネット向け通信の DNS/HTTP フィルタリングを適用。
前提条件
IdP 連携: Azure AD (Entra ID) と SAML 連携設定。
ネットワーク環境: Cloudflare Tunnel で各システムをエッジ経由で公開。
導入手順
Phase 1: 設計・PoC(2週間)
・要件整理とアクセス対象システムの棚卸し
・Cloudflare Access + Tunnel の PoC 環境構築
・IT チーム内でのパイロット検証
Phase 2: IdP 連携・ポリシー設計(1週間)
・Azure AD との SAML 連携設定
・部署・役職ベースのアクセスポリシー設計
・デバイスポスチャーチェックの設定(OS バージョン、ディスク暗号化)
Phase 3: 段階的ロールアウト(3週間)
・開発部門(50名)→ 営業部門(80名)→ 全社(300名)の順で展開
・各段階で 1 週間の並行運用期間を設け、VPN との併用を許可
Phase 4: VPN 廃止・本番運用(1週間)
・VPN 機器の停止と DNS 切替
・監視ダッシュボードの整備
・ユーザーサポート体制の確立
ポリシー設定
・社内 Jira: 開発部 + PM のみ許可、WARP 必須、macOS 14 以上
・社内 Wiki: 全社員許可、Azure AD グループ "all-employees"
・管理コンソール: IT 管理者グループのみ、ハードキー MFA 必須
・ステージング環境: 開発部のみ、業務時間帯(9:00-21:00 JST)のみ許可
動作検証
検証シナリオ: リモートワーク環境で業務を円滑に行うことが可能か。
検証結果: リモートワーク環境で業務を円滑に行うことが可能。
導入時の注意点
既存システムとの共存: VPN と Zero Trust を並行運用し、ユーザーにはどちらでもアクセスできる状態を維持する。
ユーザー影響: 全社展開前に経営層向けのデモを実施し、ユーザー体験が改善されることを可視化したことで、スムーズな承認を得られた。
導入効果
セキュリティ向上: セキュリティインシデント(不正アクセス試行)が月 8 件から 0 件に減少。
運用負荷軽減: IT チームの VPN 運用工数が月 40 時間から 2 時間に減少。
ユーザー体験改善: リモートアクセスの平均レイテンシが 180ms から 45ms に短縮されました。
運用体制と今後の展開
Access のログを週次でレビューし、不審なアクセスパターンがないか確認。
新システム追加時は必ず Tunnel + Access ポリシーをセットで設定するルールを策定。
デバイスポスチャーの要件は四半期ごとに見直し(OS バージョン要件の更新等)。
Gateway のブロックログからシャドー IT の利用状況を把握し、必要に応じて公式導入を検討。