Cloudflare Zero Trust を導入して VPN の遅さとセキュリティリスクを解消した
導入背景
株式会社あれそれこれでは、従来 VPN を使用してリモートアクセスを提供していましたが、同時接続数の増加により VPN の遅さと切断が頻発するようになりました。また、全員がフルアクセス権を持つため、セキュリティ上のリスクも高まっていました。さらに、IT 部門は VPN の対応に多くのリソースを割かれ、業務負担が増大していました。
要件定義
- セキュリティポリシー: アプリケーションごとにアクセス権限を制限する
- ユーザー体験: リモートアクセス時の遅延を軽減する
- 運用要件: IT 部門の業務負担を軽減する
ソリューション選定
Zero Trust アプローチを採用し、Cloudflare の Access、Tunnel、Gateway を導入することにしました。Cloudflare を選択した理由は、既存の IdP(Azure AD)とのシームレスな連携と、ユーザー体験の向上を実現できるためです。
アーキテクチャ設計
Before
- VPN を使用して全員がフルアクセス権を持つ
After
- Tunnel と Access を使用してアプリケーションごとにアクセス権限を制限する
| コンポーネント | Before | After |
|---|---|---|
| VPN | ○ | × |
| Tunnel | × | ○ |
| Access | × | ○ |
| Gateway | × | ○ |
前提条件
- IdP 連携: Azure AD (Entra ID)
- ネットワーク環境: Cloudflare のサービスを使用するためのネットワーク構成
導入手順
- PoC 実施(2 週間)
- IdP 連携(Azure AD)
- 開発チームから試験的に導入し、徐々に全社展開
- 最後に VPN を停止
ポリシー設定
- Jira: 開発チームのみアクセス可
- Wiki: 全員アクセス可
- 管理画面: IT 管理者のみアクセス可 (MFA 必須)
動作検証
- 各アプリケーションへのアクセス権限が正しく制限されていることを確認
- リモートアクセス時の遅延が軽減されていることを確認
導入効果
- VPN 関連の問い合わせが激減(月 100 件 → 数件)
- レイテンシが半分以下に改善
運用のポイント
- ログを週 1 回確認
- 新しいアプリケーション追加時は Tunnel とポリシーを設定
補足・特記事項
- SSL インスペクションの適用で調整が結構苦労した
まとめ
Cloudflare Zero Trust の導入により、VPN の遅さとセキュリティリスクを解消することができました。ユーザー体験の向上と IT 部門の業務負担の軽減も実現できました。将来的には、さらに多くのアプリケーションを Tunnel と Access に移行し、セキュリティとユーザー体験の向上を継続していきたいと考えています。