Fortinetが「SSL-VPN」サポート終了を決断した真意──日本企業のVPN脱却を促せるか？

そもそも、なぜ「SSL-VPN」サポート終了を決断したのか？

　SSL-VPNの技術サポート廃止の発表は、多くの人々に驚きを以て迎えられた。競合他社から見ても、思い切った決断に感じられたかもしれない。読者の中にもかなりのユーザーがいることだろう。「使いやすさと、どこからでも絶対にVPNにつながる強みが評価されて、長らく多くの方に利用いただいていた。特に、コロナ禍を契機にリモートワークへのシフトが興った際には急速に普及が拡大した」と、フォーティネットジャパンの今井大輔氏は振り返る。

　同氏が説明するとおり、FortiGateユーザーならライセンス購入なしで利用できる導入障壁の低さを背景に、SSL-VPNはこれまで業界トップクラスのシェアを誇っていた。しかし多くの方がご存じのとおり、近年はリモートワーク環境におけるVPNの脆弱性を突いた攻撃が頻発し、もはやVPN製品ではセキュリティに限界が来ているとの見方が主流である。

　たとえばSSL-VPNの場合、デバイスの専用アプリを通じて仮想NIC経由でSSL/TLS暗号化されたトンネルを構築する「トンネルモード」が、高い接続性と同時に安全性を提供する通信方式として支持されてきたが、近年はこれが攻撃の入口となってしまっている。ここを起点に攻撃者が横展開（ラテラルムーヴメント）を試みるケースが多いとされているのだ。

　また今井氏によれば、SSL-VPNのソフトウェアライブラリのうち、VPN機能に必要なものは全体の一割程度だという。残り九割は、他のウェブのコントロールやブラウザの制御を司る様々なプログラムが入っているとのことだ。それゆえに、一部のライブラリで発生した脆弱性が広範囲に影響を及ぼし、バグを誘発するケースがあった。アップデートすれば解決するとはいえ、業務への影響を抑えながらパッチを適用することは、それなりの運用負荷がかかる。

　加えて、旧来から多くのユーザーを抱えていたうえに、リモートワーク需要を背景にさらにシェアが拡大し、あまりにも膨大なユーザー数を抱えていることも、客観的に見れば一種の脆弱性のようにも思える。攻撃者からすれば“SSL-VPNの攻略法”を考える価値がさらに増すうえ、似たような攻撃パターンを複数の標的に流用できるケースも少なくないはずだ。

　米国では、2021年頃からVPNの脆弱性が盛んに指摘されるようになり、NSA（米国国家安全保障局）とCISA（米国サイバーセキュリティ・社会基盤安全保障庁）が連名で発出した文書『Selecting and Hardening Remote Access VPN Solutions（リモートアクセスVPNの選定と強化）』の中では、SSL-VPNではなく「IPSec-VPN（以下、IPsec）」が標準プロトコルとして推奨された。

　こうした潮流を受けて、フォーティネットはSSL-VPNの廃止を決断したのである。なお、2026年5月11日に新規バグ修正や追加機能などの技術サポートは終了するが、セキュリティパッチなど最低限のサポートは2027年11月11日まで継続される。いわゆる、移行までの猶予期間だ。突然ユーザーがほったらかしにされるわけではない。