リモートワークの定着とともに、多くの企業がVPN装置を導入されたと思います。
F5 BIG-IP APM、Cisco AnyConnect、Juniper SAなど、いわゆる「リモートアクセスVPN」と呼ばれるものです。
『導入当時はオンプレミス中心の環境だったから、社内LANに入れるVPNが必要だった』それは正しい判断です。
ただ、その後数年が経過し業務で使っているシステムを思い浮かべてみてください。
Google Workspace、Salesforce、Slack、AWS Management Console——アクセス先の大半がクラウドに移っていないでしょうか。
もしそうなら、高額なVPN装置を維持し続ける必要があるのか、一度立ち止まって考える必要があるかもしれません。
VPNの二つのタイプ
VPNには、接続先の違いによって大きく二つのタイプがあります。
リモートアクセスVPN(LAN型) は、社内ネットワークにトンネルを張って接続する方式です。 F5 BIG-IPやCisco AnyConnectがこれにあたります。 接続すると社内LANの中にいるのと同じ状態になり、ファイルサーバーや社内DBなどLAN内のリソースにアクセスできます。
固定IPアクセス(WireGuardなどによるトンネル方式) は、ユーザーに固定のグローバルIPアドレスを付与し、そのIPでインターネット上のサービスにアクセスする方式です。 社内LANには入りません。 アクセス先のサービス側で「このIPからの接続だけ許可する」というIP制限をかけて制御します。
この記事では便宜上、前者を「LAN型」、後者を「固定IPアクセス型」と呼びます。
何が違うのか
一番の違いは、接続先が社内LANの中にあるか、インターネット上にあるかです。
LAN型は社内ネットワークそのものに入ります。
オンプレミスのファイルサーバーや社内専用の業務システムにアクセスするには、この方式が必要です。
ただし、一度ネットワークに入ると横移動(ラテラルムーブメント)が可能になります。
端末がマルウェアに感染した場合、被害がLAN全体に広がるリスクがあります。
固定IPアクセス型は、インターネット上のサービスに対して、IPアドレスによるアクセス制御を行います。
社内LANには触れないので、横移動のリスクはありません。
アクセス制御の単位も「ネットワーク全体」ではなく「サービスごと」になるため、最小権限の原則に沿いやすい構成です。
| 観点 | LAN型VPN | 固定IPアクセス型 |
|---|---|---|
| 接続先 | 社内LAN内のリソース | インターネット上のサービス |
| 社内LANへの直接アクセス | ○ | × |
| 端末感染時のリスク範囲 | LAN全体に波及しうる | 限定的 |
| アクセス制御の単位 | ネットワーク単位 | サービス(IP)単位 |
| 構成のシンプルさ | 複雑 | シンプル |
| 導入・運用コスト | 高い | 低い |
固定IPによるサービス単位のアクセス制御は、ゼロトラストそのものではありません。
ただし、「ネットワーク全体を信頼する」LAN型VPNから、「サービスごとにアクセス元を絞る」構成への移行は、ゼロトラストの考え方に近づく現実的な一歩です。
導入のハードルが低く、既存のSaaS側の設定だけで実現できるという点で、最も手を付けやすいセキュリティ強化策のひとつと言えます。
ゼロトラストの考え方と固定IPアクセスの関係については、「ゼロトラストの時代、企業がとるべき現実的なアプローチとは?」で詳しく紹介しています。
高額なVPN装置を維持するコスト
LAN型VPN装置、特にエンタープライズ向け製品のコストは軽くありません。
- ライセンス費用: 同時接続数に応じた年間ライセンスが必要
- ハードウェア更新: 数年ごとに機器のリプレースが発生
- 運用工数: ファームウェア更新、証明書管理、ポリシー設計、障害対応
- バージョンアップ対応: EOLに伴う移行プロジェクト
これらのコストに見合うだけの利用実態があるなら問題ありません。
ただ、「LAN内リソースへのアクセスはほとんどないが、IP制限のためだけにVPN装置を使っている」という状態であれば、過剰投資になっている可能性があります。
見直しのチェックポイント
以下に当てはまる項目が多いほど、固定IPアクセス型への切り替えが合理的です。
- 業務システムの大半がSaaS・クラウドに移行済み
- VPNの主な用途が「IP制限のためのIPアドレス付与」になっている
- 社内LANにあるリソースへのアクセス頻度が低い
- VPN装置の運用・保守に専任の工数がかかっている
- VPN装置のEOLが近く、リプレースの検討が必要
すべてに当てはまる必要はありません。
2番だけでも該当するなら、検討する価値はあると思います。
段階的な移行という選択肢
「LAN型を全廃して固定IPに一本化する」と聞くとハードルが高く感じるかもしれませんが、実際にはいきなり全面切り替えする必要はありません。
現実的なアプローチは、併用から始めることです。
まず、IP制限だけが目的のアクセスを固定IPアクセス型に移行します。
SaaSの管理画面やクラウドサービスへのアクセスがこれにあたります。
社内LANへのアクセスが必要な一部の業務だけ、既存のLAN型VPNを残します。
この方法なら、LAN型VPN装置の同時接続ライセンス数を減らせる可能性がありますし、将来的にオンプレミスのリソースがクラウドに移行した時点で、LAN型を完全に廃止する道筋も立てやすくなります。
今が見直しやすいタイミング
2025年から2026年にかけて、F5 BIG-IPの主要バージョンが相次いでサポート終了を迎えます(参考)。
次世代プラットフォームとして開発されていたBIG-IP Nextも廃止が発表されました(参考)。
VPN装置のバージョンアップや機器更新を検討するこのタイミングは、「そもそも何のためにLAN型VPNを使っているのか」を棚卸しする良い機会です。
ロリポップ固定IP(vpn.lolipop.jp)
弊社のロリポップ固定IP は、WireGuardベースの固定IPアクセスサービスです。
ユーザーごとに固定のグローバルIPアドレスを付与し、SaaSやクラウドサービスへのIP制限をシンプルに実現します。
VPN装置の構築・運用は不要です。
IP制限のためだけに高額なVPN装置を維持しているなら、ぜひ一度ご検討ください。
