ゼロトラストネットワーク比較:Tailscale vs Netbird vs Teleport でセキュアアクセスを構築する
オープンソースラボ編集部 ・ 2026年6月14日
ゼロトラストネットワーク比較:Tailscale vs Netbird vs Teleport でセキュアアクセスを構築する
🔒 VPNに代わるゼロトラストネットワークアクセス(ZTNA)ソリューション。Tailscale・Netbird・Teleportの特徴を比較します。
ゼロトラストネットワークとは
「社内ネットワークだから安全」という前提を捨て、すべてのアクセスを検証する設計思想です。VPNより細かいアクセス制御と、場所を問わないセキュアなアクセスを実現します。
主要ツール比較表
| 項目 | Tailscale | Netbird | Teleport |
|---|---|---|---|
| ライセンス | BSL(クライアントはBSD) | BSD 3-Clause | Apache 2.0 |
| セルフホスト | △(Headscale) | ◎ | ◎ |
| プロトコル | WireGuard | WireGuard | mTLS+SSH |
| SSH対応 | △ | △ | ◎ |
| DB/Kubernetes | △ | △ | ◎ |
| 設定難度 | ◎ 超簡単 | ○ | 中 |
| UIダッシュボード | ◎ | ◎ | ◎ |
| ACL/ポリシー | ○ | ◎ | ◎ |
各ツールの特徴
Tailscale
WireGuardベースのメッシュVPN。インストールするだけで全デバイスがP2Pで繋がる圧倒的なセットアップのシンプルさが人気の理由です。
主な特徴:
- WireGuardベースで高速・セキュア
- Google/Microsoft/GitHubアカウントでSSOログイン
- MagicDNS でデバイス名でアクセス可能
- Exit Nodeで全トラフィックをルーティング可能
- Tailnet Lock(管理者不正防止)
# インストール(Linux)
curl -fsSL https://tailscale.com/install.sh | sh
# ログインして参加
tailscale up
# 状態確認(接続中のデバイス一覧)
tailscale status
# SSH(TailscaleのSSH機能有効化)
tailscale up --ssh
ssh username@hostname.tailnet-name.ts.net
// ACLポリシー(Tailscale Admin Console)
{
"acls": [
{
"action": "accept",
"src": ["group:devs"],
"dst": ["tag:production-servers:22"]
}
],
"groups": {
"group:devs": ["user:alice@company.com", "user:bob@company.com"]
},
"tagOwners": {
"tag:production-servers": ["group:sre"]
}
}
向いているケース: 個人〜中規模チーム・超簡単セットアップ・セルフホスト不要
Netbird
完全にOSSでセルフホスト可能なWireGuardベースのゼロトラストネットワーク。Tailscaleに近い使い勝手でデータを自社管理できます。
主な特徴:
- Management ServerとSignalサーバーをセルフホスト
- ネットワークポリシーをGUIで細かく制御
- ルーターピアでサブネットをルーティング
- Kubernetesオペレーター対応
# Management Server のDockerデプロイ
git clone https://github.com/netbirdio/netbird && cd netbird
# 設定ファイルを生成
./infrastructure_files/setup.env を編集
docker-compose -f infrastructure_files/docker-compose.yml up -d
# クライアントインストール
curl -fsSL https://pkgs.netbird.io/install.sh | sh
# サーバーに接続
netbird up --management-url https://your-netbird.example.com
# ネットワークポリシー例
# GUIから設定:
# - Source: group:developers
# - Destination: group:production-servers
# - Protocol: TCP, Port: 22
# - Bidirectional: false
向いているケース: セルフホスト必須・GDPR/プライバシー重視・中規模
Teleport
SSH・Kubernetes・データベース・Webアプリへの統合アクセスゲートウェイ。監査ログとセッション記録が特に強力です。
主な特徴:
- SSH・Kubernetes・PostgreSQL/MySQL・Webアプリを1プラットフォームで管理
- セッション全記録(画面録画・コマンドログ)
- Just-in-Time Access(期限付き権限昇格)
- SOC2/FedRAMP対応のコンプライアンス機能
# teleport.yaml(Teleportサーバー設定)
version: v3
teleport:
data_dir: /var/lib/teleport
nodename: teleport-proxy
proxy_service:
enabled: yes
web_listen_addr: 0.0.0.0:443
public_addr: teleport.example.com:443
auth_service:
enabled: yes
cluster_name: my-company
ssh_service:
enabled: yes
labels:
env: production
# Kubernetesクラスタ登録
tctl tokens add --type=kube --ttl=1h
helm install teleport-agent teleport/teleport-kube-agent --set roles=kube --set proxyAddr=teleport.example.com:443 --set token=<generated-token>
# SSHアクセス(セッション記録あり)
tsh ssh user@hostname
# kubectl アクセス
tsh kube login my-cluster
kubectl get pods
向いているケース: SSH管理・K8s・DB接続の一元管理・コンプライアンス
選択ガイド
| 状況 | 推奨 |
|---|---|
| 超簡単・個人〜中規模・SaaS OK | Tailscale |
| セルフホスト・プライバシー重視 | Netbird |
| SSH+K8s+DB統合・監査ログ必須 | Teleport |
内部リンク
外部リソース
FAQ
Q. TailscaleをセルフホストするHeadscaleとは何ですか?
HeadscaleはTailscaleの管理サーバー(Coordination Server)のOSS実装です。クライアントはTailscale公式のものを使いますが、サーバーを自社管理できます。
Q. WireGuardと通常のVPN(OpenVPN等)の違いは何ですか?
WireGuardは最新の暗号化(ChaCha20/Poly1305)を使い、OpenVPNより高速・低レイテンシーです。カーネルに組み込まれているため軽量です。
Q. Teleportのセッション記録はどこに保存されますか?
デフォルトはTeleportサーバーのローカルストレージですが、S3/GCS/Azure Blob Storageへの外部保存も設定できます。
Q. ゼロトラストとVPNを両方使う必要はありますか?
通常は不要です。ゼロトラストはVPNの上位互換として、より細かいアクセス制御と優れたUXを提供します。