導入背景
株式会社サンプルテックは、従来は拠点間 VPN とオンプレミスのリバースプロキシで社内システムへのアクセスを制御していたが、リモートワーク拡大に伴い VPN の同時接続数が上限に達し、業務時間帯に接続できない社員が発生していた。また、VPN 接続後はネットワーク全体にアクセス可能なため、最小権限の原則を満たせていなかった。さらに、VPN クライアントのバージョン管理やトラブル対応に IT チームの工数が月 40 時間以上かかっていた。これらを解決するため、VPN を廃止しゼロトラストアーキテクチャへ移行することを決定した。
要件定義
- セキュリティポリシー要件: VPN を廃止し、ゼロトラストアーキテクチャを導入する
- ユーザー体験要件: リモートワークに適したアクセス環境を提供する
- 運用要件: IT チームの工数を削減し、セキュリティを強化する
ソリューション選定
- Zero Trust アプローチを選択した理由: 最小権限の原則を満たし、セキュリティを強化する
- Cloudflare を選んだ判断軸: リモートワークに適したアクセス環境を提供し、IT チームの工数を削減する
アーキテクチャ設計
Before
- 拠点間 VPN(IPsec)でオフィス⇔DC を接続
- リモートユーザーは SSL-VPN クライアントで社内 NW に参加
- 認証は VPN 接続時の AD 認証のみ、接続後はフラットなアクセス
After
- Cloudflare Tunnel で各システムをエッジ経由で公開
- Access でアプリケーション単位の認証・認可を実施
- Gateway でインターネット向け通信の DNS/HTTP フィルタリングを適用
- デバイスポスチャーチェックにより未管理端末からのアクセスをブロック
前提条件
- IdP 連携: Azure AD (Entra ID)
- ネットワーク環境: Cloudflare Tunnel を使用する
導入手順
Phase 1: 設計・PoC
- 要件整理とアクセス対象システムの棚卸し
- Cloudflare Access + Tunnel の PoC 環境構築
- IT チーム内でのパイロット検証
Phase 2: IdP 連携・ポリシー設計
- Azure AD との SAML 連携設定
- 部署・役職ベースのアクセスポリシー設計
- デバイスポスチャーチェックの設定(OS バージョン、ディスク暗号化)
Phase 3: 段階的ロールアウト
- 開発部門(50名)→ 営業部門(80名)→ 全社(300名)の順で展開
- 各段階で 1 週間の並行運用期間を設け、VPN との併用を許可
Phase 4: VPN 廃止・本番運用
- VPN 機器の停止と DNS 切替
- 監視ダッシュボードの整備
- ユーザーサポート体制の確立
ポリシー例
- 社内 Jira: 開発部 + PM のみ許可、WARP 必須、macOS 14 以上
- 社内 Wiki: 全社員許可、Azure AD グループ "all-employees"
- 管理コンソール: IT 管理者グループのみ、ハードキー MFA 必須
- ステージング環境: 開発部のみ、業務時間帯(9:00-21:00 JST)のみ許可
導入効果
- VPN 関連の問い合わせ: 月 120 件 → 5 件(96% 削減)
- IT チームの VPN 運用工数: 月 40 時間 → 2 時間
- リモートアクセスの平均レイテンシ: 180ms → 45ms(Tunnel 経由)
- セキュリティインシデント(不正アクセス試行): 月 8 件 → 0 件
- 新入社員のアクセス環境セットアップ: 半日 → 15 分
運用のポイント
- Access のログを週次でレビューし、不審なアクセスパターンがないか確認
- 新システム追加時は必ず Tunnel + Access ポリシーをセットで設定するルールを策定
- デバイスポスチャーの要件は四半期ごとに見直し(OS バージョン要件の更新等)
- Gateway のブロックログからシャドー IT の利用状況を把握し、必要に応じて公式導入を検討
補足・特記事項
- 移行期間中は VPN と Zero Trust を並行運用し、ユーザーにはどちらでもアクセスできる状態を維持した
- 全社展開前に経営層向けのデモを実施し、ユーザー体験が改善されることを可視化したことで、スムーズな承認を得られた
参考 URL
https://developers.cloudflare.com/cloudflare-one/connections/connect-networks/