VPNではサイバー脅威を防げない？今後企業が採用すべきセキュリティ対策とは

2025年6月8日2025年6月24日

「VPNはもはや安全ではない」――近年、VPNの脆弱性を突いたサイバー攻撃が急増しています。では、VPNの限界を補い、企業が今後採用すべきセキュリティ対策は何なのでしょうか？

2025年5月16日、ZscalerはCybersecurity Insidersと共同で「2025年版 Zscaler ThreatLabz VPNリスクレポート」を発表し、VPNが抱える深刻な課題と代替策を明らかにしました。

VPNの脆弱性が企業にもたらすリスク

同レポートは、世界中のIT・セキュリティ担当者632人を対象に調査を実施。その結果、以下の実態が浮き彫りになりました：

・ 92％の企業が「VPNの脆弱性を突いたランサムウェア攻撃」に懸念
・ 93％の企業が「外部からのVPN接続がバックドア化」するリスクを認識
・ 56％が「VPNの最大の課題はセキュリティとコンプライアンス維持」と回答

特に2024年2月、日本の金融機関がVPNの脆弱性を突かれ、約2万件の顧客情報が流出する深刻な事件も発生。パッチ未適用のVPNがサイバー攻撃の起点となるケースが相次いでいます。

Zscalerのセキュリティ研究機関「ThreatLabz」の分析によると、2020年〜2025年の間に公表されたVPN関連の脆弱性（CVE）は82.5%増加。その多くが「リモートコード実行（RCE）」に関するもので、攻撃者が企業システム上で不正なコードを実行できる深刻なリスクが指摘されています。

さらに近年、サイバー攻撃者は生成AIを活用し、短時間でVPNの脆弱性を特定・悪用する手法を取り入れ、攻撃の高度化・高速化が進んでいます。

Zscalerは、従来型VPNに依存するセキュリティモデルの限界を踏まえ、次世代のセキュリティ対策として「ゼロトラストアーキテクチャー（ZTA）」の導入を強く推奨しています。

ゼロトラストとは：

・「誰も信頼しない」を前提とした厳格なアクセス制御
・必要最小限のアクセス権限（最小特権の原則）
・水平方向（ラテラルムーブメント）の脅威拡大を防止
・データ保護の強化
・セキュリティ運用の簡素化と効率化

こうしたアプローチにより、VPNのような単一経路依存の脆弱性を排除し、より堅牢で柔軟なセキュリティ基盤の構築が可能になります。

レポートによると：

・ 65%の企業が「VPNからの段階的移行」を検討
・ 81%の企業が「1年以内にゼロトラスト導入を計画」

すでに多くの先進企業がVPN依存から脱却し、ゼロトラストベースのセキュリティモデルへと移行を加速させています。

近年の調査と実際のインシデントから、VPNだけに依存した境界型防御では、巧妙化・高度化するサイバー攻撃に対応しきれないことが明らかです。

Zscalerは以下を提言しています：

・ VPNのみに依存しない多層防御の構築
・ゼロトラストアーキテクチャーの早期導入
・脅威可視化とリアルタイムのリスク監視体制の強化

現代のサイバーセキュリティ戦略には、真のゼロトラスト原則に基づく柔軟で堅牢なアクセス管理が不可欠です。

VPNの限界を理解し、ゼロトラストへ移行することが、企業をサイバーリスクから守る最善の選択肢となるでしょう。

よかったらシェアしてね！