クラウド化しても消えないDHCP ― 設計思想と現実のギャップ

1. はじめに

Prisma AccessなどのZTNA（Zero Trust Network Access）サービスを導入する企業が増えています。
クラウド上でセキュリティ機能や検疫機能を提供できるため、これまでオンプレミスに設置していたセキュリティアプライアンスを撤去し、データセンターのコスト削減や運用体制の見直しを進めるケースも珍しくありません。

しかし、その一方でDHCPサーバーだけは依然としてオンプレミスに残り続けている企業がほとんどです。
機器のEOL（End of Life）やリプレース作業、障害対応からは逃れられず、「なぜクラウドに移行できないのか？」と疑問を持ったことがある方も多いでしょう。

本記事では、DHCPがクラウド化しにくい理由と、現実的な設計アプローチを整理します。

---

2. 背景：クラウドファーストとZTNAの潮流

国内でもリモートワークの普及やセキュリティ強化の流れから、ZTNA導入が加速しています。
Prisma Accessのようなサービスを利用すれば、ユーザー認証・ポリシー適用・アクセス制御をクラウド上で完結でき、拠点や本社にセキュリティゲートウェイを置く必要がなくなります。

クラウド化のメリットは明確です。

• ハードウェアの保守負担削減
• データセンターコストの低減
• セキュリティポリシーの一元管理
• スケーラビリティの向上

しかし、その流れに乗り切れないインフラがあります。それがDHCPです。

---

3. DHCPがクラウド化できない技術的理由

3.1 L2ブロードキャスト依存

DHCP DiscoverはL2（データリンク層）のブロードキャストを利用します。
クラウドやWAN越しでは、L2ブロードキャストは基本的に通らない設計になっており、直接的なクラウド提供は困難です。

3.2 DHCPリレーの制約

DHCPリレーを使えばL3越しに配布できますが、VPNやZTNA環境では経路や設定が複雑になり、トラブルシューティングも難しくなります。
実際に国内案件でも、本社集中型DHCPで拠点PCがIP取得に失敗する事例があります。

3.3 セキュリティ上の懸念

DHCPをWAN越しに公開すると、スプーフィングやリース枯渇攻撃のリスクが増大します。
そのため、セキュリティ設計上、DHCPは物理的・論理的にクライアント近傍に置くのが基本です。

3.4 可用性と即応性

DHCPは端末がネットワークに接続する初期段階で動作するため、応答遅延やサーバーダウンは業務に直結します