
Summary
この文書の要点
- VPNは「接続できたら中は全部見える」設計であり、機器そのものが攻撃対象になっています。
- ゼロトラストは、誰が・何のデバイスで・どこから・何にアクセスするかを毎回検証します。
- 移行はID一元化→MFA強制→デバイス管理→アクセス制御の段階適用→VPN廃止判断の5フェーズで進めます。
- VPN機器の次回更新見積もりが届いたときが、移行を検討する最良のタイミングです。
VPNの何が問題なのかを構造から整理します。
第一に、VPNは「接続できたら中は全部見える」という設計です。認証はトンネルの入口で1回だけ行われ、認証情報が漏れた場合、攻撃者も同じ権限を得ます。国内のランサムウェア被害の侵入経路は、VPN機器の脆弱性と認証情報の窃取が長年上位を占めています。
第二に、VPN機器そのものが攻撃対象です。ファームウェアの脆弱性は次々と公表され、パッチ適用が数日遅れただけで侵入されるケースが現実に起きています。中小企業にVPN機器の脆弱性を常時監視する体制があるでしょうか。
第三に、運用の摩擦です。全トラフィックが会社の回線を経由することで速度が落ち、社員は個人環境で作業を始めます。セキュリティ施策が回避される最大の理由は、不便さです。
ゼロトラストの中核は、アクセスの文脈の検証です。
ゼロトラストの実装は「誰が、何のデバイスで、どこから、何にアクセスするか」を毎回検証することです。GWSにはコンテキストアウェアアクセスという機能があり、「経理データを含む共有ドライブは、会社管理のデバイスかつ国内からのアクセスのみ許可」といった制御ができます。
VPNとの本質的な違いは、検証がアプリケーションへのアクセスごとに行われることと、デバイスの状態がポリシーに含まれることです。認証情報が盗まれても、攻撃者のデバイスは会社の管理下にないため、アクセスは拒否されます。
移行は5つのフェーズで進めます。
フェーズ1はIDの一元化です。業務SaaSのログインをGoogleアカウントによるSSOに集約します。この段階で「退職者のアカウント削除が1箇所で済む」という運用改善が先に手に入ります。
フェーズ2は多要素認証の強制です。方式はSMSではなくアプリまたはセキュリティキーを推奨し、管理者アカウントはフィッシング耐性のあるセキュリティキーを必須にします。
フェーズ3はデバイス管理の導入です。エンドポイント管理でアクセスに使われるデバイスを可視化し、BYODを認める場合は仕事用プロファイルの分離を条件にします。
フェーズ4はコンテキストアウェアアクセスの段階適用です。まずモニターモードで影響を観察し、確認してから強制に切り替えます。適用順序は管理コンソール→経理・人事データ→全社アプリの順です。
フェーズ5はVPNの廃止判断です。残存するオンプレシステムを一覧化し、移行ロードマップを引き、VPNの解約日を決めます。ゼロにできない場合も、VPNを特定システムへの限定アクセスに縮小し、全社共通インフラの座から降ろすことが重要です。
中小企業ならではの注意点があります。
コストについて。コンテキストアウェアアクセスにはGWSの上位エディションが必要です。エディション差額を「VPN機器の更新費用+保守費用+障害対応の人件費」と比較してください。多くの場合、機器の次回更新タイミングが移行の好機です。
体制について。移行は情シス1人でも進められますが、例外申請の裁定は経営判断を含みます。ポリシーの決定権者を明確にし、例外は文書で残す。この規律がないと、例外が積み重なってポリシーが形骸化します。
社内の説得には「VPN機器の次回更新費用」と「情報漏洩時の想定損失」を並べた1枚の資料が最も通ります。セキュリティの理想論ではなく、設備更新の意思決定として提案することが中小企業では有効です。
- 私物スマホへのMFAアプリ強制は摩擦を生む。アプリかセキュリティキーの2択を提示する。
- 取引先のアクセスはVPN貸与ではなく、期限とアクセスレベル付きのゲストアカウントで統制する。
- ID一元化:SSO化率と代替統制。MFA:有効化率100%。デバイス管理:リモートワイプ手順のテスト実施。


