Tanto "VPN" quanto "HTTPS" não possuem segurança inerente. Você deve especificar medidas de segurança mínimas que cada uma delas adota para garantir uma conexão. A configuração de qualquer uma delas é uma informação vital que você precisará para determinar qual é a sua situação mais adequada.
Portanto, descubra quais são as medidas de segurança mínimas exigidas, digamos, criptografia AES-128, integridade SHA-1 e algum tipo de autenticação (o NTLM é fraco; sugiro HTTP-DIGEST ou Kerberos se você conseguir naquela).
Em seguida, compare esse requisito com a segurança mínima permitida por cada tipo de conexão. O HTTPS será mais conveniente, portanto, se os mínimos forem iguais ou superiores aos requisitos, ele deverá ser usado. Se nem VPN nem HTTPS atenderem aos seus requisitos, é hora de reavaliar seus requisitos ou o produto do fornecedor.