Fortinetが「SSL-VPN」サポート終了を決断した真意──日本企業のVPN脱却を促せるか？

手っ取り早いのはIPsecへの移行だが、あくまでも延命措置

　急なサポート廃止宣言に戸惑っているユーザーも多いとは思うが、ここが転換点だと割り切って、大切な資産を守るために移行を検討するのが現実的だろう。他社のVPN製品へ移行を検討するユーザーも一定数いるかもしれないが、肝心のVPNの脆弱性は解消できないうえ、この廃止の流れがセキュリティ業界全体のムーブメントになっていく可能性を考慮しておく必要がある。

　移行の選択肢として、大きくは以下3つが考えられる。順番に見ていこう。

IPsec-VPNへの移行：延命措置

　まずはIPsecへの移行だ。前述のとおり、SSL-VPNに代わる標準プロトコルとして米国の公的機関でも推奨されている。いきなりゼロトラストへ移行することにはリソース面・技術面でハードルを感じているユーザーに対し、フォーティネットもまずはIPsecへの移行を促している。

　移行先としては最も難易度が低く、手っ取り早くSSL-VPNの脆弱性を軽減しアタックサーフェスを抑制できるが、あくまでも“延命措置”であることに注意が必要だ。SSL-VPNより安全とはいえ、クラウド環境の普及とともに限界を迎えつつある技術であることに変わりはなく、既に定石はゼロトラストへと移りつつある。IPsecへ移行したとしても1～2年ほどでまた移行を迫られることになる。ゼロトラスト環境へ移行するまでの、SSL-VPNの先にある猶予期間の延長と捉えておくのがよいだろう。

ゼロトラスト・ネットワーク・アクセス（ZTNA）への移行

　中長期的な目線で見れば、ここが目指すべき一つの到達点だろう。その名のとおり、リモートアクセスにゼロトラストの原則を取り入れた環境である。

　ユーザーがネットワークに接続する前に、IDや場所、時間、属性、さらにはデバイスの脆弱性などを検査できるのがZTNAの分かりやすいメリットだ。ユーザーが認証を通過したあとにセキュリティソフトを意図的に落とした場合なども、ほとんど時間差なく検知できる。また、データやアプリケーションごとのアクセス権限もコントロールしやすいうえ、ユーザーごとの行動評価やリスクスコア算出も可能だ。

SASEへの移行

　今井氏がもう一つの移行先として提示するのがSASEだ。今回紹介している3つの選択肢の中では、最も新しい概念である。念のため説明しておくと、ネットワークとセキュリティ機能をクラウド上のセキュリティプラットフォームで統合し、ユーザーは常にこのプラットフォームを介してウェブやSaaS、クラウドサービスなどにアクセスするというものだ。従業員数が数千～数万人規模に及び、IT環境のサイロ化やシャドーITなど、ガバナンス面で課題を抱えがちな大企業を中心に、既に導入が広がってきている。

　最大のメリットは、ゼロトラスト環境であることに加え、運用面で最適化されており、よりガバナンスの効いたセキュリティを実現できる点だろう。機器のメンテナンスやバージョンアップ、シグネチャの更新といった従来の手動作業も必要ない（あるいは大幅に軽減される）。ここまで来ると完全にクラウドネイティブな環境となるため、移行にはそれなりのコストと手間、時間がかかるものの、数年のうちに日本中の企業が到達を迫られるレベルだと思われる。