Pangolin 調査レポート

開発元: Fossorial Inc.
カテゴリ: 🛡️ セキュリティ
公式サイト Docs GitHub DeepWiki

WireGuardベースのOSSゼロトラスト・リモートアクセスプラットフォーム。リバースプロキシとVPN機能を統合し、シームレスで安全なインフラへのアクセスを提供。

総合評価
77点
基準点70点からの評価
オープンソース
OSS
無料プラン
あり
最低価格
無料
対象ユーザー
開発者IT管理者MSP (マネージドサービスプロバイダ)
更新頻度
🆕 最新情報: 2026年6月: バージョン1.19でブラウザベースのSSH、RDP、VNCアクセスを追加

📋 評価の詳細

👍 加点項目

  • +5 VPNとリバースプロキシを一つのプラットフォームに統合する画期的な機能
  • +3 オープンソースとして無償でセルフホスト可能な強力なCommunity Edition
  • +2 活発なアップデート(1.17〜1.19等)による急速な機能拡充

👎 減点項目

  • -3 日本語UI・ドキュメントのサポートがなく、サードパーティのレビュー情報が少ない
総評: VPNとプロキシの利点を統合したモダンなリモートアクセス基盤だが、日本語サポートと国内実績はこれからのツール

関連レポート

Pangolin 調査レポート

1. 基本情報

  • ツール名: Pangolin
  • ツールの読み方: パンゴリン
  • 開発元: Fossorial Inc.
  • 公式サイト: https://pangolin.net/
  • 関連リンク:
  • カテゴリ: セキュリティ
  • 概要: Pangolinは、WireGuardをベースにしたオープンソースのアイデンティティベースのリモートアクセスプラットフォームである。リバースプロキシとVPNの機能を1つに統合し、オンプレミス、クラウド、エッジ環境全体にわたるパブリックおよびプライベートリソースに対する安全なゼロトラストアクセスを提供する。

2. 目的と主な利用シーン

  • 解決する課題: 従来型のVPNによる全社ネットワークへの過剰なアクセス許可(ラテラルムーブメントのリスク)や、リバースプロキシを利用する際の公開IPの必要性といったセキュリティのジレンマを解消する。
  • 想定利用者: インフラストラクチャへのセキュアなアクセスを求める開発者、IT/セキュリティ管理者、エッジデバイス群を管理するMSPなど。
  • 利用シーン:
    • 社内向けWebアプリケーションを、ネットワークを外部に公開することなくブラウザ経由で安全に公開する。
    • 開発者がローカルのクライアントソフトウェアなしで、ブラウザから対象サーバーへSSH、RDP、VNCで直接リモートアクセスする。
    • リモートワーク環境において、特定のホストやサブネットへのアクセス権をユーザーやロールごとに細かく制御して提供する。

3. 主要機能

  • ブラウザベースのリモートアクセス: SSH、RDP、VNCプロトコルについて、専用のクライアントをインストールすることなくブラウザ上でフルセッションをレンダリングする(v1.19で追加)。
  • パブリックリソースのプロキシ: HTTP/HTTPSのWebアプリを、自動TLS化しつつユーザー認証とアクセス制御を備えたブラウザからアクセス可能なエンドポイントとして公開する。
  • プライベートリソースアクセス: Pangolinクライアント(Mac, Windows, Linux対応)を利用し、指定したホスト、CIDR、またはプライベートなHTTPアプリにアクセスするゼロトラストVPN機能。
  • Pangolin SSH: OpenSSHサーバーの導入やPAM設定なしに、サイトコネクタを介して直接SSHセッションを提供する簡易的なSSHアクセス機能。
  • リソースベースのアクセス制御 (RBAC): ネットワーク全体ではなく、特定のリソースに対するアクセス権限をユーザーやロール単位で細かく制御する。
  • マルチサイトルーティングと高可用性: 複数のサイトコネクタから同じリソースへルーティングし、低遅延で健全なパスを自動選択することで高可用性を実現する。
  • アラートと監査ログ: HTTPリクエスト、認証ログ、ネットワークログを記録し、サイトやリソースのステータス変更時にWebhookなどでアラートを送信する機能。
  • 自動サイトアップデート: 各エッジのサイトコネクタ(Newt)を指定したタイミングで自動的にバージョンアップする仕組み。

4. 開始手順・セットアップ

  • 前提条件:
    • セルフホスト(Community/Enterprise Edition)または Pangolin Cloud(SaaS)のアカウント。
    • 対象ネットワーク内に軽量なコネクタ(Newt)を展開できる環境。

  • インストール/導入:

    セルフホストのクイックインストールの例:

    curl -fsSL https://pangolin.net/install.sh | bash
  • 初期設定:
    • コントロールプレーン(管理画面)にログインし、対象ネットワークに「Site」を作成して展開用コマンドを取得。
    • 対象ネットワーク(例: 社内サーバー)でそのコマンドを実行してPangolinサーバーへのアウトバウンドトンネルを確立。
  • クイックスタート:
    • Site作成後、「Resource」としてアクセスしたいIPとポートを定義し、ユーザーに割り当てることで即座に利用可能になる。

5. 特徴・強み (Pros)

  • VPNとリバースプロキシの統合: 一つのプラットフォームで、ブラウザからアクセスするWebアプリと、クライアントを利用するバックエンドへのトンネル通信の両方に対応している。
  • ポート開放不要 (NAT Traversal): サイトコネクタがアウトバウンドでPangolinサーバーに接続するため、受信ポートを開けたり、パブリックIPを持ったりする必要がない。
  • 強力なOSSコミュニティ版: AGPL-3ライセンスで提供されるCommunity Editionは、自己ホストすることで無料で利用できる。
  • ブラウザでのネイティブなターミナル/デスクトップ操作: SSHクライアントやRDP/VNCビューアをローカルに用意せずとも、ブラウザのタブ内でセッションを実行できるのは非常に革新的。

6. 弱み・注意点 (Cons)

  • 日本語対応の不足: UI、公式ドキュメント、サポートが基本的にすべて英語であり、国内向けの導入実績情報も不足している。
  • 新しい製品としての成熟度: 長年の実績があるエンタープライズVPN製品と比較すると、コミュニティや知見はまだ成長段階にある。
  • セットアップの学習曲線: Blueprintやサイトの概念、パブリック/プライベートリソースの違いなど、独自の概念を理解するまでは導入に少し戸惑う可能性がある。

7. 料金プラン

プラン名 料金 主な特徴
Community Edition 無料 自己ホスト用のAGPL-3版。機能は豊富だが自己管理が必要。
Basic 無料 Pangolin Cloudの無料枠。最大5ユーザー、5サイトまで。基本機能を含む。
Team $4/月 外部IDP連携、RBAC、監査ログ、デバイスポスチャ、セキュリティポリシー追加。
Business $9/月 複数組織、IDPのユーザー自動プロビジョニング、SSH管理、デバイス承認、カスタムロゴなど。
Enterprise カスタム カスタムリミット、ログストリーミング(SIEM)、SCIM、プレミアムリレー、SLA付き優先サポート。
  • 課金体系: Pangolin Cloudの有料プランはユーザー数に基づく月額課金。
  • 無料トライアル: TeamおよびBusinessプランで10日間の無料トライアルが利用可能。また、Enterprise版のセルフホストも個人や小規模ビジネス(売上10万ドル未満)なら無料で利用できるFossorial Commercial Licenseがある。

8. 導入実績・事例

  • 導入企業: Fossorial Inc. による提供。公式サイト上では「1,000,000+ deployments worldwide」と謳われている。
  • 導入事例: 特定の企業名は公開されていないが、エッジインフラの遠隔管理(IoT/SCADAなどの産業機器)、MSP(マネージドサービスプロバイダ)でのマルチテナント管理などで活用されている。
  • 対象業界: 開発チーム、ITインフラ運用、産業用IoT、エッジコンピューティング環境など。

9. サポート体制

  • ドキュメント: 公式ドキュメントは構造化されており、概念からセルフホストの手順まで詳しく記載されている(英語のみ)。
  • コミュニティ: GitHubリポジトリのIssue/Discussion、公式Slackコミュニティ、およびDiscordが存在し、ユーザー間の交流やフィードバックが行われている。
  • 公式サポート: 無料・Teamプランはコミュニティサポート。Businessプランからチケットベースのサポート、EnterpriseではSLA付きの優先サポートとDedicated engineerが提供される。

10. エコシステムと連携

10.1 API・外部サービス連携

  • API: 統合API (Integration API) が提供されており、システムプロビジョニングなどをコードから自動化可能。
  • 外部サービス連携: OIDCなどの外部IDP(Identity Provider)と連携し、SSOログインを実現可能(Teamプラン以上)。

10.2 技術スタックとの相性

技術スタック 相性 メリット・推奨理由 懸念点・注意点
Docker / Kubernetes 公式コンテナイメージ、Helmチャート、Community Blueprintsなど親和性が非常に高い 特になし
CI/CD (GitHub Actions等) GitOpsを利用してPangolinのBlueprintをCI/CDパイプライン経由でデプロイ可能 APIやBlueprintの記法を学ぶ必要がある
Traefik Pangolin Enterprise版でTraefikの証明書(acme.json)を読み込む統合機能がある 特になし

11. セキュリティとコンプライアンス

  • 認証: IDPを介したSSO、2FA (二要素認証)、PINコード認証、セッション時間制限。
  • データ管理: SaaS環境ではコントロールプレーンをクラウドで提供するが、リモートノードを利用することで自社インフラに通信を留めることができる。
  • 準拠規格: 公式のTrust Centerによると「ISO 27001」認証を取得済み。さらに各種アクセス監査ログを提供している。

12. 操作性 (UI/UX) と学習コスト

  • UI/UX: 非常にモダンで直感的なWeb管理画面を提供している。サイトとリソースの関係性が視覚的にわかりやすい。
  • 学習コスト: ゼロトラストネットワークの基本概念を理解していれば導入はスムーズだが、リバースプロキシとVPNの両面の設定項目があるため、多機能ゆえの一定の学習は必要となる。

13. ベストプラクティス

  • 効果的な活用法 (Modern Practices):
    • 宣言的な構成である「Blueprints」とGitOpsアプローチを組み合わせ、CI/CDでアクセス制御設定を自動管理する。
    • エッジデバイス(IoT機器など)を展開する際、サイトプロビジョニングキーを利用してGolden Imageから自動的にセットアップを行う。
  • 陥りやすい罠 (Antipatterns):
    • パブリックリソースに対して強力なIDP設定やGeoブロッキングを行わず、広範に公開してしまうこと。必ず「Resource Policies」を活用してベースラインラインのセキュリティを適用するべき。

14. ユーザーの声(レビュー分析)

  • 調査対象: GitHubのスター数および技術コミュニティでの言及。G2、Capterra、ITreviewなどの一般的なSaaSレビューサイトには2026年6月時点での登録は見られなかった。
  • 総合評価: GitHubで21,300以上のスターを獲得しており、開発者コミュニティからの支持は非常に厚い。
  • ポジティブな評価:
    • VPNとリバースプロキシを一つのツールで賄えることの利便性に対する賞賛。
    • 最新のブラウザベースのSSHやRDP機能が、手軽で非常に使いやすいという声。
  • ネガティブな評価 / 改善要望:
    • (大規模なレビューサイトへの登録がないため、具体的な導入後のネガティブなフィードバックは現段階では限定的だが、オープンソース版における設定の煩雑さに関する指摘などがGitHub Issueで散見される。)
  • 特徴的なユースケース:
    • クラウドプロバイダを利用せず、自宅のサーバー環境を外部から安全に管理するためのセルフホストツールとして、個人開発者やホビーイストにも人気。

15. 直近半年のアップデート情報

Pangolinは非常に頻繁なアップデートを行っており、ここ数ヶ月でも急速に機能が拡張されている。

  • 2026-06-11: (v1.19) ブラウザベースのSSH、RDP、VNCリモートアクセス機能を追加。Pangolin SSH機能の簡素化、サイトコネクタの自動アップデート、リソースポリシー、ラベル機能などが導入された。
  • 2026-04-28: (v1.18) プライベートリソースのHTTPS化、マルチサイトルーティング(高可用性と遅延ベースのルーティング)、稼働率トラッキング、およびアラート通知ルール(Webhookなど)を追加。
  • 2026-04-03: (v1.17) フルRBAC(ロールベースのアクセス制御)、サイトプロビジョニングキーによる大規模展開のサポート、およびログストリーミング機能の追加。

(出典: Pangolin News & Articles)

16. 類似ツールとの比較

16.1 機能比較表 (星取表)

機能カテゴリ 機能項目 Pangolin Tailscale Cloudflare Tunnels (Zero Trust) OpenVPN
基本機能 ブラウザからのアプリ/SSH/RDP接続
クライアント不要のネイティブセッション
SSHはサポートだがアプリは別途設定
ブラウザSSH/VNCをサポート		 ×
別途クライアントとツールが必要
アーキテクチャ ポート開放不要のアウトバウンド接続
NATトラバーサルで実現
同様にポート開放不要
Cloudflareエッジへの接続
サーバー側のポート開放が必要
エンタープライズ SSO/IDP連携と細かなアクセス制御
Team/Businessプランで提供
標準で強力なIDP連携
高度なゼロトラスト制御
追加設定やAccess Server等が必要
非機能要件 オープンソースでのセルフホスト
AGPL-3のCommunity Edition
オープンソース互換のHeadscaleあり		 ×
SaaSのみ
OSS版が広く利用される

16.2 詳細比較

ツール名 特徴 強み 弱み 選択肢となるケース
Pangolin リバースプロキシとVPNを統合したプラットフォーム ブラウザ経由でのRDP/SSHなどが強力で、セルフホストも容易 比較的新しく、エンタープライズ向けの日本語情報やサポートが少ない VPNとプロキシを統合し、インフラアクセスを一本化したい場合や完全自社ホストしたい場合
Tailscale WireGuardベースのメッシュVPN 導入が極めて簡単で、エンドツーエンドの暗号化メッシュネットワークを構築 リバースプロキシ的なWeb公開には別途設定やツールが必要 個々のデバイス同士を安全に繋ぎたい、シンプルに社内網を作りたい場合
Cloudflare Tunnels Cloudflareのグローバルエッジを利用したゼロトラストアクセス 超高速なエッジネットワーク、DDoS保護、WAFなどが一体化 セルフホストできず、データが必ずCloudflareを経由する Webアプリケーションの公開と保護を最優先し、インフラ管理をSaaSに任せたい場合
OpenVPN 伝統的で実績のあるVPNソリューション 実績・安定性が高く、あらゆる環境・ルーターでサポートされている ブラウザでのクライアントレスアクセスはできず、全社網へのアクセスになりがち レガシーな環境や、ネットワークレベルでの完全なVPN接続が求められる場合

17. 総評

  • 総合的な評価: Pangolinは、旧来のVPNが抱える「ネットワーク全体の露出」という課題と、リバースプロキシの「パブリックIPとポート開放が必要」という課題を、見事に一つのツールで解決するモダンなゼロトラスト基盤である。特にバージョン1.19で追加されたブラウザベースのネイティブなSSH、RDP、VNC対応は強力であり、ユーザーにクライアントソフトのインストールを強いることなく安全なインフラアクセスを提供する点は大きな強みと言える。
  • 推奨されるチームやプロジェクト: インフラエンジニアや開発者が多数在籍し、多数の内部サーバーやエッジデバイス(IoT機器など)をセキュアに管理する必要がある組織。また、オープンソースの柔軟性を活かし、完全に自社インフラ内でリモートアクセス環境を構築(セルフホスト)したいチームに最適である。
  • 選択時のポイント: SaaSとしての手軽さを求めるならCloudflare Zero TrustやTailscaleなどの強力な競合が存在する。しかし、「VPNとWebリバースプロキシを統一的に管理したい」「外部SaaSにトラフィックを通さず自社でコントロールしたい(セルフホスト)」「ブラウザだけでRDPやSSHを完了させたい」という要件が揃った場合、Pangolinは非常に魅力的な第一選択肢となる。