VPNの課題はセキュリティとコンプライアンスのリスクだと半数以上の組織が認識──Zscaler調査

　Zscaler（ゼットスケーラー）は、Cybersecurity Insidersと共同で作成した「2025年版 Zscaler ThreatLabz VPNリスクレポート」を発表した。

　同レポートでは、VPNサービスがもたらすセキュリティリスクやユーザーエクスペリエンスの問題、そして運用面での課題を分析。600人以上のITおよびセキュリティ専門家を対象とした調査結果によると、VPNを利用する組織の最大の課題はセキュリティとコンプライアンスの維持であり、回答者の56％がこの問題を指摘したという。サプライチェーン攻撃やランサムウェアのリスクは最優先事項とされており、全体の92％がVPNの脆弱性からランサムウェア攻撃が発生する可能性を懸念している。こうしたリスクの複合的な影響により、VPNに対する企業の考え方が大きく変化しつつあるという。現在、65％の組織が今後1年以内にVPNからの移行を予定しており、さらに81％の組織がゼロトラスト戦略の導入を計画しているとのことだ。

　かつてはリモートアクセスの柱として重宝されたVPNだが、過剰な権限付与や脆弱性、拡大し続ける攻撃対象領域により、今では企業ネットワークの深刻なリスク要因となり、IT資産や機密データを危険にさらしているという。VPNはその設計上、物理環境でも仮想環境でも、リモートユーザーだけでなく攻撃者にもネットワークへのアクセスを許可してしまうため、ゼロトラストモデルとは根本的に異なるとしている。加えて、VPNは接続速度の遅さや頻発する障害、複雑な保守作業が原因となり、IT部門や従業員に大きな負担を与え、生産性や業務効率を著しく低下させているとのことだ。同レポートは、業界の専門家からの信頼性の高い知見を基に、これらの課題を掘り下げるとともに、現代のハイブリッドワーク環境で安全なアクセスを確保するための実践的なガイドラインを提供する目的で作成されたとしている。

セキュリティと使いやすさに関する懸念

　回答者の54％がVPNに関連する最大の課題としてセキュリティとコンプライアンスのリスクを挙げており、VPNでは高度化するサイバー脅威に十分対抗できないという懸念が高まっているという。現在、多くのサイバー犯罪者がGPTベースのAIを悪用してVPNの脆弱性を特定しており、たとえば、企業が使用しているVPN製品の最新の共通脆弱性識別子（CVE）を返すように生成AIチャットボットに指示するだけで偵察活動を行えるとしている。そのため、これまで数週間から数ヵ月かかっていた作業が、今ではわずか数分で完了できるようになっているとのことだ。

　最近では、外国のサイバー諜報グループが既知のVPNの脆弱性を悪用し、企業ネットワークに不正にアクセスするというインシデントが発生。この数ヵ月だけでも同様の事例が複数報告されており、VPNの脆弱性がサイバー攻撃の主要な標的であることが改めて証明されたとしている。これと同時に、従来のセキュリティモデルからゼロトラストアーキテクチャへの移行が急務であることも浮き彫りになったという。実際、92％の回答者が未修正のVPNの脆弱性を狙ったランサムウェア攻撃を懸念しているとのことだ。

簡単に特定できる深刻なVPNの脆弱性が増加

　ThreatLabzは、攻撃者がインターネットに接続されたVPNインフラの脆弱性をどのように悪用しているかを調査するため、MITRE CVE Programのデータを基に2020年から2025年に報告および公開されたVPN関連のCVEを分析。一般的に、脆弱性の報告は非常に価値があると同社は述べる。脆弱性の迅速な開示とパッチ適用により、エコシステム全体でサイバーハイジーンが向上し、コミュニティ全体の連携も促進されるという。また、新たな攻撃ベクトルに対してもすばやく対応できるようになるとしている。セキュリティ上の欠陥がまったくないソフトウェアは存在しないため、脆弱性そのものを完全に排除することは現実的ではないとのことだ。

　調査期間中、VPN関連のCVEは82.5％もの増加を記録（2025年初頭のデータはこの分析から除外）。過去1年間においては、これらの脆弱性の約60％がCVSS（共通脆弱性評価システム）で「重要（High）」または「緊急（Critical）」に分類されており、企業にとって深刻なリスクとなっているという。また、リモートコード実行（RCE）の脆弱性が最も多く報告されていたことが明らかになったとしている。これらの脆弱性により、攻撃者が標的のシステム上で任意のコードを実行できるようになるため、特に危険だという。このように、VPNの脆弱性の大部分は決して軽視できるものではなく、実際に攻撃者に悪用されるケースが後を絶たないとしている。

招かれざる侵入者

　VPNは認証後に広範なアクセスを提供し、ユーザーアクセスを請負業者、外部パートナー、ベンダーにまで拡張するという。理論上は優れた接続ツールだが、攻撃者は脆弱なパスワードや盗まれた認証情報、設定ミス、パッチ未適用の脆弱性を悪用してこれらの信頼された接続を侵害。調査対象となった93％が外部からのアクセスに起因するバックドアの脆弱性を懸念しているという。2024年2月には、ある金融サービス企業においてVPNの脆弱性を原因とするデータ漏洩事件が発生し、約2万件の顧客の個人情報が流出。この事例は、VPNが企業ネットワークを攻撃するための侵入経路となりうることを浮き彫りにしたとのことだ。

VPNからゼロトラストに移行し、あらゆる領域を保護

　従来のVPNベンダーは、クラウド上に展開された仮想マシンを「ゼロトラストソリューション」として提供することで、変化する環境に適応しようとしていると同社は述べる。しかし、VPNがクラウドでホストされている場合でも、その設計の本質は従来のVPNと変わらず、真のゼロトラスト原則には準拠していないとのことだ。これを裏付けるように、最近、主要なセキュリティベンダーがホストする数万件のパブリックVPN IPアドレスを狙ったスキャン活動が急激に増加していることが確認されているという。このようなスキャン活動は、攻撃者が未公開の脆弱性を悪用しようとしている兆候である場合が多いことが過去のケースからもわかっているとしている。クラウドベースのVPNは従来の設計から根本的に脱却していない限り、いかに効果的に宣伝されていても、真のゼロトラスト原則を達成することはできないとのことだ。

　包括的なゼロトラストアーキテクチャは、従来のセキュリティツールに比べて強力なセキュリティと優れた運用効率を提供するため、多くの組織が急速に導入を進めているという。調査では、81％の組織が今後1年以内にゼロトラストアーキテクチャの導入を予定していることが明らかになったとしている。ゼロトラストの原則をユーザー、アプリケーション、ワークロードにまで適用することで、従来のVPNが不要となり、次のメリットを備えたより回復力の高い最新のセキュリティアプローチを確立できるという。

1. 攻撃対象領域の最小化：ネットワークベースのアクセスからゼロトラストポリシーとアイデンティティーベースの制御に移行し、ユーザーやサードパーティーを保護
2. 脅威のブロック：堅牢な認証、アイデンティティーセキュリティ、最小特権のゼロトラストアクセスで初期侵入を防止
3. 水平方向の移動の防止：ゼロトラストセグメンテーションを使用して脅威を封じ込め、ネットワーク内での不正な拡散を阻止
4. データセキュリティの強化：コンテキスト対応型の統合されたゼロトラストポリシーを施行し、機密情報を保護
5. 運用の簡素化：VPNをAI活用型のセキュリティ、継続的な監視、ポリシーの自動施行に置き換えることで、中断のないアクセスを提供しながら、事業継続性を維持

　これらを採用することで、組織は堅牢なゼロトラストフレームワークを構築し、VPNに関連するセキュリティリスクを排除できると同社は述べる。また、継続的な検証、最小特権アクセス、予防的な脅威軽減も可能になるとのことだ。

調査方法

　同レポートは、VPNのセキュリティリスク、組織のアクセスの傾向、ゼロトラストアーキテクチャの導入状況を特定するために、Cybersecurity InsidersがITおよびサイバーセキュリティの専門家632人を対象に行った調査の結果を基に作成。回答者には、様々な業界の経営幹部、ITセキュリティ担当者、ネットワーク インフラのリーダーが含まれるという。

【関連記事】
・Cato Networks、LLMのセキュリティ制御を回避する“LLM脱獄技術”を発見
・25年第1四半期はランサムウェア攻撃が126％増　最も狙われたのは消費財・サービス業界──CPR調査
・グローバルのIT・セキュリティ役員の9割が過去1年間でサイバー攻撃を受けたと回答──Rubrik調査