- 従業員
- 300名未満
- 年間売上
- 30億円未満
ライセンス・設計・運用コストに対してROIが合いにくい規模感です。Microsoft Entra ID + Conditional AccessやGoogle BeyondCorpなど、既存クラウドIdPの条件付きアクセス機能の活用を優先し、ZTNA専用製品の導入は従業員規模が拡大してから検討するのが現実的です。
ZTNAとは、ユーザーやデバイスの「ネットワーク上の場所」を問わず、アクセス要求のたびに継続的に認証・認可を行うセキュリティフレームワークです。「一度社内に入れば信頼できる」という従来のVPN型境界防御を根本から転換し、社内外を問わず最小権限でリソースアクセスを制御します。
ソリューションそのものの「価値」を 4 軸で評価。各項目は 0-100。
導入時の負担(コスト・期間)。ハードルが高いほど合意形成と予算確保に時間がかかります。
ZTNAとは、ユーザーやデバイスの「ネットワーク上の場所」を問わず、アクセス要求のたびに継続的に認証・認可を行うセキュリティフレームワークです。「一度社内に入れば信頼できる」という従来のVPN型境界防御を根本から転換し、社内外を問わず最小権限でリソースアクセスを制御します。
ZTNAはガートナーが2010年代初頭に「ゼロトラスト」概念として体系化し、クラウド・リモートワーク普及とともに急速に注目を集めてきました。VPNの「城と堀」モデルが限界を迎える中、特にランサムウェア被害やサプライチェーン攻撃の深刻化が企業の移行を後押ししています。日本でも2022年以降、政府のゼロトラスト移行指針(デジタル庁・総務省)が相次いで公表され、金融・医療・製造業を中心に本格導入が加速しています。
ただし、導入の実態は「ZTNAと銘打った製品を入れれば完了」ではありません。IDプロバイダー(IdP)との統合、デバイス証明書の発行管理、アプリケーション単位のポリシー設計、既存ADとの連携など、組織固有のアーキテクチャ設計が成否を分けます。日本市場では特に、レガシーオンプレミスシステムとの共存期間が長く、段階的なVPN代替のロードマップ設計が欠かせません。「ゼロトラスト=VPNを捨てる」と短絡せず、現状棚卸しから始めることを編集部は推奨します。
以下のような状況にある企業・組織でZTNA導入の検討が特に適しています。
ZTNAの導入コストは、IdPライセンス・エージェントソフト・クラウドゲートウェイの月額費用に加え、アーキテクチャ設計・移行プロジェクトの人件費・SIer費が発生します。国内SaaS型ZTNAの場合、ユーザー数300名規模でも月額100〜300万円程度の総費用が見込まれます。この水準を正当化するには、VPN廃止・拠点回線削減・セキュリティインシデント低減といった複合的なコスト削減効果を試算する必要があります。
ROIが成立しやすいのは、従業員300名以上かつ年間売上30億円以上の企業です。この規模では、セキュリティ事故による事業停止リスクや対外的な信頼毀損コストが導入費用を上回りやすくなります。特に金融・医療・製造業など規制産業では、コンプライアンス対応コストとの合算で費用対効果が明確になります。
一方、従業員100名以下の中小企業では、汎用クラウドIDPとSaaS型VPNで代替できるケースも多く、フルスペックのZTNAアーキテクチャは過剰投資になりがちです。この規模感では、まずMicrosoft Entra ID(旧Azure AD)+ Conditional Accessの活用から始め、事業成長とともにZTNAに移行するアプローチが現実的です。
ライセンス・設計・運用コストに対してROIが合いにくい規模感です。Microsoft Entra ID + Conditional AccessやGoogle BeyondCorpなど、既存クラウドIdPの条件付きアクセス機能の活用を優先し、ZTNA専用製品の導入は従業員規模が拡大してから検討するのが現実的です。
リモートワーク定着・クラウド移行が進む段階でVPN代替のZTNA導入が費用対効果に見合い始めます。SaaS型ZTNAをまず社内主要アプリへのアクセス制御から試験導入し、段階的にVPN拠点を縮小するロードマップが有効です。社内IT担当2〜3名での運用を想定した製品選定が重要です。
拠点数・委託先数が多く、VPN運用コストとインシデントリスクが顕在化する規模です。SASEへの統合(SD-WAN+ZTNA+CASB)や、グループ企業・サプライチェーン向けの外部アクセス管理と組み合わせることで、ROIが明確に試算できます。専任のゼロトラストアーキテクト配置または外部SIer活用が成功の鍵です。
グローバル拠点・M&A統合・規制対応(金融庁・医薬品規制等)が重なり、ゼロトラストアーキテクチャの戦略的価値が最大化します。ネットワーク全体の刷新(SASE化)と組み合わせ、中長期の投資計画に組み込む必要があります。PoC段階から大手SIerとの協業体制を整えることが現実的です。
ZTNAの思想的な源流は、Forrester Researchのアナリストであるジョン・キンダーバグ氏が2010年に提唱した「ゼロトラストモデル」にあります。「信頼できるネットワークは存在しない(Never Trust, Always Verify)」を原則とし、境界型セキュリティの限界を指摘したこのフレームワークは、2017年のNIST SP 800-207「Zero Trust Architecture」の策定を経て、世界標準として普及しました。クラウドネイティブなネットワークアクセス制御ソリューションとしては、Googleが2014年に発表した「BeyondCorp」が先駆的な実装事例として広く知られています。その後、Zscaler・Cloudflare・Palo Alto Networksなどがクラウド型ZTNAサービスを商用化し、2020年のコロナ禍によるリモートワーク急拡大で爆発的に需要が拡大しました。
日本市場では、2021年に総務省が「ゼロトラストによるセキュリティの考え方に関するガイダンス」を公表し、2022年にはデジタル庁が政府情報システムへのゼロトラスト適用方針を策定したことで、官民双方の導入機運が一気に高まりました。国内では富士通・NTTデータ・NRI等の大手SIerが独自のZTNAソリューションをラインナップに加え、Zscaler・Cloudflare・Okta等グローバルベンダーの国内展開も本格化しています。一方で日本特有の事情として、社員証IC連携・既存Active Directoryとの共存・多段階承認フロー(稟議文化)との整合性が実装上の課題として繰り返し指摘されています。
キャズム理論(イノベーター理論 × Crossing the Chasm)に基づく普及段階。(2026-05 時点の編集部判断)
キャズム縁で加速、SASE統合が突破の鍵
ZTNAは、コロナ禍以降のリモートワーク常態化とVPN脆弱性インシデントの続発を追い風に、アーリーアダプター期の後半、まさにキャズム上端に位置していると評価します。国内導入率は12%前後、海外は28%程度と大手・情報システム部門の先進層には浸透しつつあるものの、日本の中堅企業や製造業拠点では依然としてVPNとの併存運用が主流であり、主流市場への定着には至っていません。勢いはSASE/SSEプラットフォームの一機能として組み込まれる形で確実に伸びており、Zscaler、Netskope、Cloudflare、Palo Altoといったベンダーの営業攻勢と、経産省・NISCのゼロトラスト推奨方針が追い風になっています。一方で、単体カテゴリとしての「ZTNA」は徐々にSASE/SSEに吸収されつつあり、今後は独立ソリューションではなくプラットフォーム内機能として普及が進む公算が大きいです。キャズム突破の鍵は、既存VPNからの移行コストと業務アプリ側の対応範囲、そしてOTや工場ネットワークへの適用可否です。ここが解ければ2027〜2028年にかけて主流化が視野に入ります。
データ補足: 蓄積CAGR+28%は妥当な水準ですが、独立カテゴリとしてではなくSASE/SSE統合の中でカウントされる比率が増えており、ZTNA単体の純増は数値ほど強くない可能性があります。
国内拠点30箇所・海外拠点15箇所を持つ大手製造業が、クラウド型ZTNAとSASEの組み合わせでVPN集線装置をすべて撤廃しました。従来は拠点ごとのVPN装置更改に年間約2億円の費用と6ヶ月の工数が発生していましたが、ZTNA移行後は拠点追加コストが約70%削減。セキュリティインシデント(不審なラテラルムーブメント検知件数)も移行前比で約60%減少と報告されています。成功の鍵はID基盤(Azure AD)とのシングルプロジェクト化でした。
本支店100拠点を持つ地方銀行が、老朽化したMPLS専用線とVPNの代替としてZTNAを段階導入しました。金融庁の「金融機関のシステムリスク管理に関するガイドライン」への対応を主目的とし、アプリケーション単位のアクセス制御・端末証明書認証・リアルタイム行動分析を組み合わせました。専用線コストを年間約40%削減しつつ、テレワーク時の認証強度をVPN比で大幅に向上。外部監査での指摘事項がゼロになったことで経営層の承認も得やすかったと担当者が語っています。
Googleは2009年の「Operation Aurora」サイバー攻撃を契機にBeyondCorpプロジェクトを開始し、2014年に社内ネットワーク依存を完全廃止したゼロトラスト実装を公開しました。全社員・全デバイスに対してネットワーク位置によらずアクセス要求を都度検証する仕組みを構築し、VPNを廃止。この事例は世界中のCISOに「実現可能な実装」として参照され、ZTNA市場形成の触媒となりました。Googleの公開論文(Usenix 2014, 2016)は現在も業界標準の設計参考資料となっています。
国内製造業(従業員約2,000名)がVPN老朽化を急ぎZTNA製品を先行導入したものの、社内Active Directoryのグループ管理が属人的で整備されておらず、アクセスポリシーの設定が業務部門ごとにバラバラになりました。認証エラーが多発し、ヘルプデスクへの問い合わせが導入前の3倍に急増。結果として6ヶ月で一部機能を停止し、AD整備から再着手する羽目になりました。ZTNA製品自体の問題ではなく、前提となるID管理基盤の不備が根本原因でした。
中堅流通企業(従業員約800名)がベンダー提案のまま全社一括でVPNをZTNAに切り替えたところ、POSシステムや基幹ERPへのアクセスに用いていた旧来の固定IPベース認証が機能しなくなり、基幹業務が半日停止するインシデントが発生しました。ZTNA対応が難しいレガシーアプリの洗い出しを事前に行わず、移行マッピングが不完全だったことが原因です。事後的な修正対応のSIer費用が当初見積もりの2倍以上に膨らみました。
IT専任2名体制の中堅企業がZTNAを導入したものの、アクセスポリシーの継続的なレビュー・更新を担う専任担当が不在でした。入退社・異動時のアクセス権変更が後手に回り、退職者のアカウントが半年以上有効なまま放置されるケースが複数発覚しました。ZTNAは導入で終わりでなく、ポリシーのライフサイクル管理が伴わないと「名ばかりゼロトラスト」に陥るリスクがあります。運用体制の設計をツール選定と同時に行わなかったことが反省点です。
クラウドネイティブZTNAのグローバルリーダーで、日本法人による国内サポート体制も充実しています。金融・製造・官公庁向けの国内導入実績が豊富で、SASEへの拡張性も高く評価されています。エージェントレスアクセスにも対応しており、サプライチェーン・業務委託先の制御に強みを持ちます。ライセンスコストはエンタープライズ向け水準です。
グローバルCDNネットワークを基盤としたZTNAサービスで、中堅企業向けの価格帯と導入のしやすさが特徴です。無料プランから段階的にスケールできるため、PoC開始のハードルが低く、国内IT部門での評価導入実績が増えています。SASEへの統合(Magic WAN連携)も提供されています。
国内通信キャリア系ならではの閉域網・専用線との組み合わせが強みで、金融・官公庁向けのコンプライアンス要件に対応したゼロトラスト関連ソリューションを提供しています。既存NTTCom回線との統合運用を望む国内大企業向けに選ばれることが多く、日本語での設計支援・運用サポート体制が整っています。
ZTNAの代替・補完手段として検討される主な選択肢は以下のとおりです。
この用語が特に有効な業種(編集部判定)