社内ネットワークのなかでもVPN(閉域網)は多くの企業にとって欠かせないITインフラとして定着しています。しかしその一方で、一部のVPNはサイバー攻撃の侵入経路として、攻撃者から最も狙われやすい存在にもなっています。
特に近年、相次ぐランサムウェアの被害を背景に次世代ファイアウォール装置の主力メーカーがSSL-VPN(トンネルモード)のサポート終了を発表するに至り、すべてのVPNは危険であり廃止しなければならないという誤解も広まっています。
本記事では、VPNの種類とリスクを整理し、社内ネットワークをどのように再設計すればよいのかを解説します。
主要なVPNの種類~SSL-VPN、IPsec-VPN、IP-VPN
VPNは「インターネットVPN」と「IP-VPN」に分類され、インターネットVPNには「SSL-VPN」と「IPsec-VPN」があります。それぞれの特性を正しく理解することが、セキュリティ対策の第一歩となります。
なお、本記事ではOSI参照モデルのネットワーク層(L3)以上のレイヤーで実現しているVPNを対象としています。データリンク層(L2)で独立したVPNを構築する広域イーサネットはIP以外のプロトコルにも対応し柔軟な構成が可能ですが、IP通信が主流になっている現状を踏まえ、取り上げていません。広域イーサネットを含めたVPNについては以下の記事で詳しく解説しています。
社内ネットワークをもっと安全に!閉域網導入で押さえるべき4つのポイント
インターネットVPN(SSL-VPN、IPsec-VPN)
インターネットVPNは、インターネット回線を利用して仮想的な専用線(プライベートネットワーク)を構築し、安全にデータをやり取りする技術です。OSI参照モデルのセッション層からアプリケーション層にあたるSSL/TLS技術を利用して暗号化された通信を実現する「SSL-VPN」とOSI参照モデルのネットワーク層で暗号化をおこなう「IPsec-VPN」の2種類が主流です。
後述するIP-VPNと比較すると、インターネットVPNは導入コストが低く、特にSSL-VPNはWebブラウザーでIDとパスワードによる認証により接続することもできるため、在宅勤務や外出先からのアクセスに柔軟に対応できる点が評価され急速に広まりました。
一方で、インターネット回線を利用していることから、常に外部から攻撃される前提で運用しなければなりません。VPNを実現する装置は24時間365日インターネット上に公開されており、脆弱性が見つかれば即座に攻撃対象となるのです。
IP-VPN
IP-VPNは通信事業者が提供する閉域網を利用して仮想的な専用線を構築し、安全にデータをやり取りする技術です。物理的な回線を共有し、MPLS技術を利用して契約者ごとのプライベートネットワークを実現しています。インターネット回線を利用しないため、外部から直接アクセスされることがなく攻撃対象領域を大幅に限定できる点が大きな特徴です。
| VPNの種類 | SSL-VPN | IPsec-VPN | IP-VPN |
|---|---|---|---|
| 分類 | インターネットVPN | インターネットVPN | IP-VPN |
| 実現するための技術 | SSL/TLS | IPsec | MPLS |
| セキュリティ | 低 | 中 | 高 |
| コスト | 低~中 | 中~高 | 高 |
| 導入の手間(代表的な手段) | 低(Webブラウザー) | 中(専用ソフト) | 高(通信機器) |
| 主な用途 | 在宅勤務、外出先からのアクセス | 在宅勤務、外出先からのアクセス、拠点間接続 | 拠点間接続 |
ランサムウェアの侵入経路として狙われるSSL-VPN
警察庁が2026年3月に発表した「令和7年におけるサイバー空間をめぐる脅威の情勢等について」によると、ランサムウェアの侵入経路はVPN機器が6割以上を占める状況となっています。攻撃者は、未修正の脆弱性、漏洩した認証情報や簡易なパスワード、設定不備等を悪用して組織のネットワークに侵入しているのです。
SSL-VPNの最大のメリットはその「柔軟さ」です。Webブラウザーから手軽にアクセスすることができ、ポータル、ユーザー認証、リバースプロキシ、アクセスポリシー設定など様々な機能を1台の装置で提供できる点が、コロナ禍における急速な在宅勤務需要と合致して広まりました。しかし、いま、この柔軟さを支える「多機能さ」が脆弱性を生む温床となっています。
SSL-VPNは機能を盛り込み過ぎた結果、ソースコードは肥大化・複雑化し、脆弱性が生じやすくなっています。さらに、運用現場では「通信を止めることができない」という理由から重大な脆弱性に対するパッチ適用が後回しにされる傾向があり、結果として、インターネット上にパッチ未適用の装置が放置され、攻撃者にとって格好の侵入経路となっているのです。
いま企業がやるべきことはSSL-VPNの廃止
象徴的なのが、米Fortinet(フォーティネット)が世界市場シェアの50%以上を占める同社の次世代ファイアウォール装置で提供してきたSSL-VPNのトンネルモードについてFortiOS 7.6.3以降では機能を廃止し、IPsec-VPNへの移行を推奨すると発表した点です。FortiOS 7.6.3のリリースノートには、「SSL VPN tunnel mode replaced with IPsec VPN」と明記されています。
SSL-VPNに内在するランサムウェアの侵入リスクを考えると他のメーカーも追従する可能性は十分にあります。企業はSSL-VPNという方式そのものが限界を迎えていることを認識しVPNを再設計する必要に迫られています。
なぜSSL-VPNを廃止できないのか
リスクが明らかになってもSSL-VPNを使い続けている企業は少なくありません。「動いているから変えないほうがよい」「自社はサイバー攻撃の対象になる会社ではない」という誤った判断に陥っており、その背景には、
- ネットワークの設定を把握していない(業務の属人化)
- サイバーセキュリティ予算の不足(検証環境や検討費用の必要性に対する理解)
- 移行に失敗した場合に生じる業務影響の懸念(全社的な通信断の恐れ)
といった理由があります。しかし、ここまで見てきたように、サポート終了後のSSL-VPNを使い続けることは明確なリスクと言える状況であり、問題が起きてからでは対応コストも信用失墜も取り返しがつかないのです。
IPsec VPNでもファームウェアの最新化は必須
SSL-VPNの代替として、IPsec-VPNを採用する企業も増えています。IPsecは成熟した技術であり、通信プロトコルの低いレイヤー(ネットワーク層)で認証・改ざん防止・暗号化をおこなうため、SSL-VPNと比べて攻撃対象になりにくい利点があります。ただし、その設定は複雑で高度なネットワークスキルが必要である点、専用ソフトを使う必要な場合があるなど利用者の手間がかかる点には注意が必要です。加えて、方式に関わらず、VPN機器のファームウェアを最新に保つ運用体制は必須です。高まるサイバー攻撃の脅威を考えると、社内ネットワークは「導入して終わり」ではなく、継続的な管理を前提としたインフラなのです。
IP-VPNはインターネットと接続しない閉域網
一方でIP-VPNに同様の懸念はないのでしょうか。IP-VPNはインターネットを利用せず通信事業者が提供する閉域網を利用することから、攻撃者に「見せない・触らせない」構成を実現することが可能です。コストや柔軟性の制約はあるものの、侵入される前提で対策を重ねるよりも、侵入されにくい構成を作るという考え方は、セキュリティ戦略として合理的です。在宅勤務や外出先からのアクセスにはIPsec-VPNを検討し、拠点間通信はIP-VPNで実現することで、サイバー攻撃に対する一定の対策となるのではないでしょうか。
ここで再度注意しておきたい点は「すべてのVPNが危険であり廃止しなければならない」という誤解です。インターネット上に公開されている装置がサイバー攻撃で狙われており、攻撃者は未修正の脆弱性、漏洩した認証情報や簡易なパスワード、設定不備等から侵入を図ろうとしています。その対象は主にSSL-VPNなのです。
まとめ:SSL-VPN廃止後を見据えたVPN再設計が企業を守る
SSL-VPNは在宅勤務を支える一方で、ランサムウェアの最大の侵入口にもなっています。SSL-VPNはすでに転換点を迎えており、「いずれ対応する」ではなく今から廃止を前提に再設計することが求められています。ここまで見てきた通り、
- SSL-VPNに依存しないリモートアクセスの設計
- IPsec-VPNの適切な運用
- IP-VPNなど閉域網の活用
といった観点でVPNを再設計することが、企業におけるサイバー攻撃対策の鍵となります。
NTTPCではモバイル端末を活用した在宅勤務を実現するMaster’sONE®モバイルを提供しています。Master’sONE®モバイルは、インターネットを経由せず、モバイル端末からIP-VPNで構築された社内ネットワークにアクセスできるVPNモバイルサービスです。
在宅勤務や外出先からのアクセスを想定したスタンダードタイプは、導入時にはSIM単体での提供に加えて、あらかじめSIMをUSB端末やWi-Fiルーターに組み込んだモバイル端末をレンタルすることもできるので、スタート時の設定などにかかる負担も軽減できます。また、AIで運用業務を自動化し、攻めのDX推進にシフトできるIP-VPNサービス Prime ConnectONE®との相互接続も可能です。
NTTPCは在宅勤務を実現するVPNモバイルサービスとサイバー攻撃に強い社内ネットワークを実現するIP-VPNサービスを組み合わせた構成を提供することができます。SSL-VPN廃止後を見据えたVPN再設計をご検討する際は、お気軽にお問い合わせください。
VPN再設計を検討したい企業様へ
「SSL-VPNの廃止を検討したいが、何から手を付ければいいかわからない」
「自社に合ったVPNの構成を専門家に相談したい」
そんな課題をお持ちの企業様向けに
※「Prime ConnectONE」は、NTTPCコミュニケーションズの登録商標です。
