株式会社インターネットイニシアティブ

一番のきっかけは、当時のリモートアクセスサービスと組み合わせて利用していた、サードパーティのセキュリティチェック（検疫）サービスが終了したことです。セキュリティレベルが下がる懸念だけでなく、2020年の東京オリンピック・パラリンピックを控え、通勤混雑緩和措置としてのリモートワークの導入により、増加する通信量に耐えられないのではという懸念もあり、新しいサービスの検討を開始しました。
ちょうどその頃SASEの注目度も高まっており、IIJでもSASE・ゼロトラストを実現する「IIJフレックスモビリティサービス/ZTNA」の提供が始まりました。このサービスを活用すると、物理機器からクラウドへ移行でき、コストも抑えることができるため、自社導入することが決定しました。
検証を進める中で、コロナの蔓延によりリモートワークが急拡大し、予定よりも6ヵ月ほど前倒しで稼働の必要に迫られ、以前利用していたリモートアクセスサービスと、IIJフレックスモビリティサービス/ZTNAを並行稼働することになりました。コロナ禍以前は1,200デバイス程度だったリモートアクセスが、いきなり何千と増え、約1年で一気に全社に利用が拡大しました。

IIJフレックスモビリティサービス/ZTNAを本格稼働させる前にリモートワークが始まったため、従来のリモートアクセスサービスでサーバを6台から最大11台まで増やし、応急処置的に対応せざるを得ない状況でした。ユーザは11台の中から接続先を選択する手間があり、不便な思いをしていたと思います。サーバは物理機器ですので、我々管理者の運用負荷も高く、本当に大変でした。クラウドサービスであるIIJフレックスモビリティサービス/ZTNAが稼働してからは、ユーザは接続先を気にする必要がなくなり、管理者としてもポリシー設定が1度で済むなど運用が大変楽になりました。

当時目指していたのは、全社規模のリモートワーク拡大に対応し、安定したリモートアクセス環境を社員に提供することと、セキュリティチェック（検疫）などのセキュリティレベルの担保です。IIJフレックスモビリティサービス/ZTNAの導入によって、管理者の運用負荷の軽減と両立しながら実現できたと思います。

以前のリモートアクセスサービスは、1,200デバイス程度で利用していました。今では約10,000デバイスでIIJフレックスモビリティサービス/ZTNAが稼働しています。ライセンス数でいえば12,000、同時接続数で見ても、約7,600デバイスほどあります（2026年1月現在）。
従業員数が単体で2,971名（2025年3月末）ですが、正社員以外も利用しています。スマートフォンを社員に貸与している部署もあり、パソコンと合わせて、正社員はほとんど全員がIIJフレックスモビリティサービス/ZTNAを利用している状況です。

Microsoft 365を全社導入して利用していますが、コロナ禍以降は、IIJフレックスモビリティサービス/ZTNAをつないで、すべての会議がオンラインで行われるようになり、Microsoft Temas、Zoom、Google MeetなどSaaSの通信量が増加し、帯域が逼迫しました。「なんとか通信量を下げられないか」と考えて、導入当初は要件に入れていなかった、ローカルブレイクアウトをすることになりました。
ゼロトラストの概念が広まる以前は、スプリットトンネルをルールで禁止していました。VPNを張っていると、インターネット上から何かしらの攻撃や悪意のあるサイトへのアクセスによって社内への侵入や感染拡大を許すので良くないという考えからです。しかし、IIJフレックスモビリティサービス/ZTNAの導入を機に、我々管理者が通信を把握した上で、ローカルブレイクアウトによる安定した通信を実現できました。

通信量をグラフィカルに可視化する機能があるのですが、大変役に立っています。
視覚的に分かりやすくトンネル内部と外部で通信量が色分けされて表示され、ローカルブレイクアウトの設定後に、意図通りにブレイクアウトされているのか確認できます。この機能がなければ、ネットワークエンジニアに依頼して、トラフィックを全部解析しないと設定が正しく反映されているのか分かりません。IIJフレックスモビリティサービス/ZTNAの管理画面で手間なく確認ができ、エンジニアのようなプロでなくても、私や、同じ部署のメンバーでも、個人のスキルに依存せずに判断できるのは助かっています。
他にも、社内に相当数のWindowsやMacがあり、OSやアプリのアップデートで、かなりのトラフィックが生じます。同時期にまとめてアップデートがかかると、IIJフレックスモビリティサービス/ZTNAにも大きな負荷がかかるので、WSUSサーバなどで帯域制限をかけることでコントロールしています。その判断も、以前は「このタイミングならWindowsアップデートだよね」「最近Adobeのアップデートがあったよね」と感覚的にざっくりと判断して調整していました。今は可視化の機能があるおかげで、ぱっと見て「Windowsアップデートの通信がここまで増えているなら、もうちょっと絞ろうか」と、確かな判断で、無駄のない帯域コントロールを実現できています。

特にはありません。
SaaSを使っている限り、IPアドレスはどんどん変わります。IIJフレックスモビリティサービス/ZTNAでは、アプリケーション（.exe）やURLを指定して設定ができるので、宛先のIPアドレスを見なくて済むのはとても助かります。もしこの機能がなかったら、ローカルブレイクアウトが維持できずに、ネットワークの帯域をどんどん増やさないといけなくなって、回線費用がどれだけかかるのだろう、と少し怖いですね。
また、柔軟性に優れた点も評価しています。例えば「Teamsのアプリケーション、かつUDPの何番ポート」という感じで細かく設定できるのですが、以前利用していたリモートアクセス機器では、ルーティングベースのため、こっちに流れてほしくない通信がこっちに吸われてしまうという問題が起こっていました。かといって、SaaSのIPアドレスは動的に変化するため、細かくルーティングテーブルを書くのも現実的ではありません。IIJフレックスモビリティサービス/ZTNAでは分かりやすい日本語の管理画面で柔軟な設定ができるので、運用していて本当にラクです。

「会議などでビル内の移動が多く、いちいちLANケーブルをつなげるのも面倒。ずっとIIJフレックスモビリティサービス/ZTNAに接続して業務しているが、まったくストレスを感じない」「以前のリモートアクセス利用時と比較して、劇的に通信環境が変わった」といった評価がありました。ユーザの声が聞こえてくるのは、良くなった時よりも悪くなった時に多いものです。苦情が減ったことで導入の効果を実感しています。
仮想IPの維持機能によってセッションが切れずに使えるので、そこも利用者目線で使いやすいのではないかと思います。本社の無線ネットワークは階ごとにセグメントが異なり、階を移動すると一度セッションが切れて、新しいネットワークアドレスが割り振られます。通常の運用であれば、そこでネットワークは切断するのですが、IIJフレックスモビリティサービス/ZTNAによって常に仮想IPが維持され、階を跨いだ移動でも、ユーザは何もせずに歩いているだけで自然と切り替わってネットワークにつながり、問題なく利用できます。

ユーザが気にせず使えるという点では、スマートフォン利用時にも言えることだと思います。従来のVPNでは、社内にVPNを張ると、すべての通信がVPN装置にいってしまうので、インターネットに直接つなげたいときは、ユーザがVPNを一度切断しないといけません。
社員に貸与するスマートフォンでは、Intuneと連携をさせて自動的にIIJフレックスモビリティサービス/ZTNAのエージェントがインストールされるようにしています。アプリケーション単位で、例えば「Microsoft Edgeは常に社内ネットワークにつなぐ」と設定しておくと、ユーザがスマートフォンでアプリケーションを立ち上げるだけで、社内システムを利用できたり、ローカルブレイクアウトされたりするので、非常に使い勝手がいいです。ユーザは、どこに接続するかや、デバイスを意識する必要がありません。リモートアクセスのON/OFFを意識して操作しなくても、管理側で決めたポリシーによって、どこからでも安全で快適なネットワークを利用できます。