ハードウェア構築・組込み支援
更新
なぜハードウェア構築・組込サービスが必要なのか
Tailscaleは、Windows、macOS、Linux、iOS、Androidなど主要なOSに対応するソフトウェアVPNです。
しかし、現実の企業や公共インフラには、Tailscaleクライアントをインストールできない機器が数多く存在します。
監視カメラ、工場のOT機器、決済端末、医療機器、ビル管理システム、自動販売機、EV充電器――これらの機器がインターネットに直接露出していると、攻撃者に侵入されてDDoS攻撃の踏み台にされたり、映像情報や決済情報が漏洩するリスクがあります。
Tailscale本家はソフトウェアのライセンス提供に特化しており、ハードウェアの選定・構築・現場設置は提供範囲外です。
Velumeshは、この「ソフトウェアだけでは届かない領域」を埋める唯一のTailscale代理店として、2つのアプローチでこの課題を解決します。
| 柱1:既存製品への後付け | 柱2:新規製品への組込み | |
|---|---|---|
| 対象 | すでに設置・稼働中の機器 | これから開発・製造する機器 |
| 方式 | Subnet Router / Tailscale対応ルータを 機器のネットワークに設置 | ファームウェアにTailscaleモジュールを 直接組み込んで出荷 |
| メリット | 機器自体の変更が不要 即日導入が可能 | Subnet Router不要、エンドツーエンド暗号化 大量展開に最適 |
| 適用例 | 監視カメラ、工場OT機器、医療機器、 POSレジ、ビル管理システム | 自動販売機、EV充電器、監視カメラ(新機種)、 国内ハードウェアルータ、IoTセンサー、アプライアンス |
柱1:既存製品への後付け ― Subnet Router / Tailscale対応ルータ
すでに設置・稼働中の機器にTailscaleをインストールできない場合は、同じネットワーク上にSubnet RouterまたはTailscale対応ルータを設置することで、その機器をTailscaleネットワークに収容します。 機器自体の設定変更やソフトウェアのインストールは一切不要です。
接続方式の選択
| Subnet Router (産業用LinuxBox / 小型PC) | Tailscale対応ルータ (Teltonika RUTX50等) | |
|---|---|---|
| 概要 | Linuxマシン上でTailscaleをSubnet Routerモードで動作させ、ローカルLAN上の機器への中継を行う | Tailscaleクライアントがファームウェアに内蔵された市販ルータ。設定画面からSubnet Router機能を有効化するだけで利用可能 |
| 回線 | 有線LAN(設置先の既存回線を利用) | LTE/5Gセルラー+有線LAN 固定回線がない屋外拠点にも対応 |
| カスタマイズ性 | 高い(OS・ファイアウォール・監視エージェント等を自由に追加可能) | 中程度(ルータのファームウェア設定範囲内) |
| 導入の手軽さ | キッティング作業が必要 (弊社が代行) | 設定画面でTailscaleを有効化するだけ 最短で即日導入可能 |
| 適する環境 | 固定回線のある拠点、高いカスタマイズが必要な環境、高可用性構成が必要な環境 | 固定回線のない屋外拠点、迅速な導入が必要な環境、セルラー回線を使いたい環境 |
| 費用目安 | 機器代:数万円〜 (+キッティング費用) | 機器代:5〜10万円程度 (+セルラー回線費用) |
対象となる機器
監視カメラ
IPカメラやNVR(ネットワークビデオレコーダー)は独自OSで動作しており、任意のソフトウェアをインストールできません。 公園、駐車場、商業施設、工場に加え、国土交通省や自治体が設置する河川・ダム・港湾の監視カメラ、道路・トンネルの交通監視カメラ、防災カメラ(津波・土砂災害)など、公共インフラの監視カメラもセキュアなリモートアクセスが必要です。 固定回線のない屋外設置の場合は、Teltonika RUTX50などのLTE/5G対応ルータが特に有効です。
工場のOT機器
PLC(プログラマブルロジックコントローラ)、SCADA、産業用ロボットなどのOT(Operational Technology)機器は、セキュリティ上の理由からインターネット接続を前提としていません。 既存のOTネットワークの隔離性を保ちながら、本社からのセキュアなリモート保守を実現するには、ネットワーク境界へのSubnet Router設置が必要です。
太陽光発電・電力設備の監視装置
パワーコンディショナーの遠隔監視装置やスマートメーターは、2024年に実際にサイバー攻撃の踏み台として悪用された事例が報告されています。 常時インターネットに接続されているにもかかわらず、ファームウェアの更新が困難な機器が多く、攻撃者にとって格好の標的です。 Subnet Router経由でTailscaleネットワークに収容し、インターネットへの直接露出をなくすことで、攻撃拠点化を防止します。
ビル管理システム(BAS/BMS)
空調、照明、エレベーター、入退室管理などのビル制御システムは、侵入されるとビル全体の物理的な制御が奪われるリスクがあります。 BACnetやModbusなどの産業プロトコルはセキュリティが考慮されていない設計のため、これらのネットワークをインターネットから隔離しつつ、管理者からのリモートアクセスを確保する必要があります。
医療機器
MRI、CT、輸液ポンプ、電子カルテ端末などのネットワーク接続医療機器は、薬機法やFDAの規制によりソフトウェアの追加インストールが制限されています。 ランサムウェアにより病院が機能停止した事例が国内外で複数報告されており、医療ネットワークの隔離とセキュアなリモートアクセスの両立が急務です。
デジタルサイネージ
駅、空港、商業施設に設置されたデジタルサイネージは、コンテンツを改竄されると風評被害に直結します。 また、常時ネットワークに接続されたサイネージ端末は、DDoS攻撃の踏み台やネットワーク内部への侵入口として悪用されるリスクがあります。
決済端末・駐車場精算機
クレジットカード決済端末やQRコード決済端末、コインパーキングやゲート式駐車場の料金精算機など、OS制約やPCI DSS等のセキュリティ要件上、ソフトウェアを追加インストールできない機器をTailscaleネットワークに統合するには、Subnet Routerが唯一の選択肢です。
店舗端末(POSレジ・注文タブレット)
WindowsベースのPOSレジ端末、飲食店のセルフオーダー用タブレット、キッチンディスプレイなど、店舗で稼働する端末群は、IT担当者不在の現場で多数展開されるため、1台ずつソフトウェアを管理するのは現実的ではありません。 店舗ネットワークにSubnet Routerを1台設置するだけで、本部からすべての店舗端末にセキュアにリモートアクセスでき、障害対応やソフトウェア更新を一括で管理できます。
Subnet Routerの仕組み
基本動作
Subnet Routerは、TailscaleネットワークとローカルLANの両方に接続されたLinuxマシンです。 Tailscaleネットワーク側からのトラフィックを受け取り、ローカルLAN側の機器に転送します。 ローカルLAN側の機器からは、Subnet Routerが通常のゲートウェイに見えるため、機器側の設定変更は不要です。
高可用性構成
同一サブネットに対して複数のSubnet Routerを配置することで、自動フェイルオーバーを実現できます。 1台が障害で停止しても、別のSubnet Routerに自動的に切り替わるため、業務への影響を最小化します。 監視カメラや工場設備など、ダウンタイムが許容されない環境では必須の構成です。
4via6によるアドレス衝突解決
M&Aや拠点統合で、複数拠点が同じプライベートIPアドレス帯を使用している場合でも、Tailscaleの4via6機能を併用することで衝突を解決できます。 各拠点のIPアドレス体系を変更する必要がなく、既存環境への影響をゼロに抑えます。
導入の流れ(柱1)
| STEP | 内容 | 成果物 |
|---|---|---|
| 1. 要件ヒアリング | 接続対象の機器、設置場所の環境条件(温度・湿度・粉塵・電源・回線有無)、ネットワーク構成、アクセス要件をヒアリングします。 | 要件定義書 |
| 2. 設計 | Subnet Router / Tailscale対応ルータの選定、配置設計、高可用性(冗長化)構成、ACL設計、IPアドレス計画を策定します。 | ネットワーク設計書 |
| 3. 機器選定・調達 | 設置環境に適した産業用LinuxBox、Teltonika RUTX50、小型PC、PoEスイッチ等を選定し、調達します。 | 機器一覧・見積り |
| 4. キッティング | OS設定、Tailscaleクライアントの設定、Subnet Routerの有効化、自動起動設定、動作検証を弊社ラボで実施します。 | 設定済み機器 |
| 5. 現場設置 | 設置場所への機器の搬入・設置、電源・ネットワーク配線、接続対象機器との疎通確認を行います。 | 設置完了報告書 |
| 6. ACL適用・検証 | 本番ACLの適用、アクセス制御の動作確認、Tailscale管理コンソール上でのデバイス状態確認を行います。 | 検証報告書 |
| 7. 引き渡し・運用開始 | 運用手順書の提供、管理者への操作レクチャー、監視体制の確認を経て、運用を開始します。 | 運用手順書 |
柱2:新規製品への組込み ― ファームウェアへのTailscale統合
これから開発・製造する製品については、ファームウェアにTailscaleモジュールを直接組み込むことで、Subnet Routerなしにエンドツーエンドの暗号化通信を実現できます。 機器がインターネットに直接露出せず、通信経路上の盗聴や中間者攻撃のリスクを根本から排除できます。 全国に数千〜数十万台規模で展開される機器にとっては、1台ごとにSubnet Routerを設置するよりも、ファームウェア組込みが圧倒的に合理的です。
対象となる製品
自動販売機
キャッシュレス決済、在庫管理、売上データ送信、デジタルサイネージ表示など、ネットワーク接続が前提の端末です。 全国に数十万台規模で展開されるため、1台ごとのSubnet Router設置は非現実的です。 ファームウェアにTailscaleを組み込むことで、決済情報・在庫データ・売上データの安全な送受信、遠隔からのファームウェア更新、障害診断がセキュアに実現します。
EV充電ステーション
OCPP(Open Charge Point Protocol)で管理サーバと通信するEV充電器は、課金・決済情報の漏洩リスクに加え、電力網への不正アクセスの入口となる可能性があります。 ファームウェアにTailscaleを組み込むことで、充電器と管理サーバ間の通信をエンドツーエンドで暗号化し、インターネットへの露出をゼロにします。
監視カメラ(新機種)
カメラ自体がTailscaleネットワークに直接参加することで、映像データが平文でネットワークを流れることがなくなります。 Subnet Routerを経由しないため、機器構成がシンプルになり、設置コストとメンテナンス負荷を大幅に削減できます。 河川・港湾・道路などの公共インフラ向けカメラでは、映像の機密性確保の観点からも組込みが強く推奨されます。
ハードウェアルータメーカー向け
国内で広く導入されているハードウェアルータのファームウェアにTailscaleを組み込む支援を行います。 既存のルーティング・ファイアウォール機能にTailscaleのメッシュVPN機能が加わることで、拠点間接続やリモートアクセスがルータ単体で完結し、別途VPN装置やSubnet Routerを用意する必要がなくなります。 Teltonikaが自社ルータOS(RutOS)にTailscaleを統合した実績があり、同様の統合を国内メーカーの製品でも実現するための技術支援を提供します。
IoTセンサー・ゲートウェイ
センサー、ゲートウェイ、エッジコンピュータなどの製品ファームウェアにTailscaleを組み込むことで、出荷後の機器にセキュアなリモートアクセス機能を標準搭載できます。 お客様先に設置された機器の遠隔監視・ファームウェア更新・障害診断が、VPNゲートウェイの構築なしに実現します。
アプライアンス製品
ネットワーク機器、ストレージ装置、映像配信装置などのアプライアンス製品に、Tailscaleを管理インターフェースとして組み込めます。 エンドユーザがVPNの知識を持たなくても、Tailscaleネットワークに参加するだけで機器の管理画面に安全にアクセス可能になります。
SIerの納品システム
お客様に納品するシステム一式にTailscaleを組み込むことで、納品後のリモート保守体制を標準化できます。 お客様ごとにVPN装置を個別構築する手間とコストが不要になり、保守契約の収益性が向上します。
組込み支援の内容
| 支援項目 | 内容 |
|---|---|
| 組込み設計 | 対象ハードウェアのCPUアーキテクチャ(ARM / x86 / MIPS等)、OS(Linux / RTOS等)、リソース制約を確認し、Tailscaleの組込み方式を設計します。 |
| ビルド・パッケージング | 対象プラットフォーム向けのTailscaleバイナリのクロスコンパイル、initスクリプト、自動接続設定、認証キーの管理方式を構築します。 |
| ACL設計 | 組込み機器が参加するTailscaleネットワークのACLを設計します。「機器→クラウド」「保守担当者→機器」など、用途に応じた最小権限のアクセス制御を定義します。 |
| 認証・プロビジョニング | 出荷時の認証キー埋め込み、Auth Key / OAuth Client / APIによる自動登録など、量産・出荷フローに適したプロビジョニング方式を設計します。 |
| 検証・品質保証 | 長期稼働テスト、再起動時の自動復帰、ネットワーク断からの回復、メモリリーク検証など、組込み環境特有の品質検証を実施します。 |
※組込み用途でのTailscaleライセンス体系については、台数規模やユースケースに応じてTailscaleと個別にご相談いただく場合があります。Velumeshが窓口となり、Tailscaleとの調整を代行します。
対応可能な設置環境
一般的なオフィスだけでなく、過酷な環境条件下での設置にも対応します。 設置場所の条件に応じて、適切なハードウェアを選定します。
| 設置環境 | 条件 | 対応例 |
|---|---|---|
| オフィス・サーバルーム | 空調あり、安定した電源・ネットワーク | 小型PC(Intel NUC等)、ラックマウント型 |
| 工場 | 粉塵、振動、温度変動、ノイズ | 産業用ファンレスPC、DINレールマウント対応 |
| 屋外(公園・駐車場等) | 雨風、直射日光、寒暖差 | IP65以上の防塵防水ボックス+産業用LinuxBox |
| 遠隔拠点(支社・店舗) | IT担当者不在、限られたスペース | 小型・省電力LinuxBox、リモートキッティング済み |
| 店舗(飲食・小売) | 厨房の熱・湿気、狭小スペース、非IT人員による設置 | 小型ファンレスPC、ケーブル2本で完結する設計 |
| 医療施設 | 医療機器との電磁干渉回避、清潔環境 | 医療環境適合の小型PC |
| 公共インフラ(河川・港湾・道路) | 無人環境、悪天候、長期無保守運用 | IP65以上の防塵防水ボックス+産業用LinuxBox、LTE/5G回線対応 |
| 太陽光発電所 | 屋外、高温、直射日光、遠隔地 | 広温度範囲対応の産業用ファンレスPC |
| EV充電ステーション | 屋外・半屋外、24時間稼働 | 小型防水ボックス+省電力LinuxBox |
導入事例
- 公園監視カメラのリモートアクセス基盤
-
課題:複数の公園に設置されたIPカメラの映像を、管理事務所からセキュアにリモート監視したい。カメラはインターネットに直接公開できない。
構成:各公園に産業用LinuxBox(防水ボックス収納)を設置し、Subnet Routerとして構成。ACLにより、管理事務所の担当者端末からのみカメラ映像にアクセス可能に設定。
成果:セキュアな接続環境により、公園事務所の端末のみが監視カメラの映像を取得できるようになり。カメラの接続口がインターネットに露出しないため、不正アクセスのリスクもゼロに。 - 工場OTネットワークのセキュアリモート保守
-
課題:工場のPLCや制御装置にリモートでアクセスしたいが、OTネットワークをインターネットに公開するのはセキュリティポリシー上不可。
構成:OTネットワークとITネットワークの境界にファンレス産業用PCを設置し、Subnet Routerとして構成。ACLで「本社の特定エンジニア→特定の制御装置の特定ポートのみ」にアクセスを限定。高可用性構成(2台冗長)で可用性を確保。
成果:月に数回の現場出張が不要になり、トラブル対応の初動が数時間から数分に短縮。OTネットワークの隔離性は完全に維持。 - 多店舗チェーンのPOSシステム接続
-
課題:全国50店舗のPOSシステムを本部から一括管理したいが、各店舗にIT担当者がいない。VPN装置の導入・運用は店舗スタッフには負担が大きすぎる。
構成:本部でキッティング済みの小型LinuxBoxを各店舗に郵送。店舗スタッフはLANケーブルと電源を接続するだけで自動的にTailscaleネットワークに参加。ACLにより本部のシステム管理チームのみがPOSシステムにアクセス可能。
成果:店舗スタッフの作業は「箱を開けて2本のケーブルを繋ぐ」だけ。導入期間を従来のVPN構築(1店舗あたり半日)から15分に短縮。
料金体系
| 項目 | 内容 | 料金 |
|---|---|---|
| 設計・キッティング | 要件ヒアリング、ネットワーク設計、機器設定、動作検証 | プロフェッショナルサービスの時間単価 (1時間3万円・税抜) |
| ハードウェア | 産業用LinuxBox、小型PC、PoEスイッチ、防水ボックス、ケーブル等 | 実費(機器代金+送料) |
| 現場設置 | 機器の搬入・設置、配線、疎通確認 | プロフェッショナルサービスの時間単価+交通費実費 |
| 運用手順書 | 管理者向けの操作手順、トラブルシューティングガイド | 設計・キッティングに含む |
※小規模案件(Subnet Router 1〜2台、オフィス設置)であれば、リモートキッティング+郵送での対応も可能です。この場合、現場設置費用は不要です。
よくあるご質問(FAQ)
- Q. Subnet Routerの自前構築とTailscale対応ルータ(Teltonika RUTX50等)、どちらを選べばいいですか?
-
固定回線がある環境で、高いカスタマイズ性や高可用性構成が必要な場合はSubnet Router(産業用LinuxBox)が適しています。
固定回線がない屋外拠点や、迅速な導入が必要な場合はTeltonika RUTX50などのTailscale対応LTE/5Gルータが最適です。
要件ヒアリングの段階で最適な方式をご提案しますので、お気軽にご相談ください。 - Q. Tailscale本家から直接購入したライセンスでも対応できますか?
-
いいえ、ハードウェア構築サービスはVelumesh経由でTailscaleをご契約いただいているお客様に限定しております。
Tailscale管理コンソールへのアクセスを共有いただくことで、ACL設計からSubnet Routerの認証まで一貫して対応できるためです。 - Q. 設置後の保守・監視も依頼できますか?
-
はい。プロフェッショナルサービスの継続契約にて、設置済みSubnet Routerの稼働監視、ファームウェア更新、障害時の交換対応を承ります。
また、ネットワーク品質監視サービス(Catchpoint)と組み合わせることで、Subnet Router経由の通信品質を24時間365日監視できます。 - Q. 既に自社で構築したSubnet Routerがありますが、設定の見直しだけ依頼できますか?
-
契約をVelumeshに移行して頂けるのでしたら、はい、可能です。
既存のSubnet Router環境のACLレビュー、高可用性構成への拡張、4via6設定の追加などをプロフェッショナルサービスにて承ります。 - Q. 海外拠点への設置も対応できますか?
-
リモートキッティング(弊社ラボで設定済みの機器を郵送)での対応が可能です。
現地でのLANケーブルと電源の接続をお客様にお願いする形になりますが、機器は事前に動作検証済みのため、現地での技術作業は最小限です。
接続後のリモートでの最終確認と ACL適用は弊社が行います。 - Q. どのプランでも依頼できますか?
-
はい、全プラン(Starter / Premium / Enterprise)でご利用いただけます。
Subnet Router自体は全プランで利用可能な機能です。
大規模導入の場合は、別途、カスタマイズした契約となります。 - Q. 自社製品にTailscaleを組み込みたいのですが、量産にも対応できますか?
-
はい。組込み設計から認証キーのプロビジョニング方式の構築、量産フローへの統合まで支援します。
Auth KeyやOAuth Clientを活用した自動登録により、1台ずつ手動で認証する必要はありません。
量産規模でのライセンス体系についてはTailscaleとの個別調整が必要になる場合がありますが、Velumeshが窓口となって交渉を代行します。 - Q. 既存製品と新規開発、どちらのアプローチが適切か判断がつきません。
-
すでに現場に設置・稼働中の機器には「柱1:Subnet Router / Tailscale対応ルータ」が即効性があります。
これから設計・開発する新製品には「柱2:ファームウェア組込み」が長期的に最適です。
同じ機器カテゴリでも、既存機種と新機種で異なるアプローチを組み合わせることも可能です。
例えば、既存の監視カメラにはSubnet Routerを設置しつつ、次期モデルにはTailscaleを組み込む、というハイブリッド戦略も支援しています。
まずは接続したい機器と設置場所をお聞かせください。
最適な構成と概算をご提案します。