VPNリスクの現実:企業の92%が脅威を認識
ゼットスケーラーが2025年版VPNリスクレポートを公開
クラウドセキュリティ企業のゼットスケーラー株式会社(Zscaler, Inc.の日本法人)は、Cybersecurity Insidersとの共同調査に基づく「2025年版 Zscaler ThreatLabz VPNリスク レポート」を発表した。本レポートは、VPN(仮想プライベートネットワーク)が抱える脆弱性や運用上の課題、ゼロトラストアーキテクチャーへの移行の必要性について詳細に分析している。
セキュリティとコンプライアンス維持が最大の課題
本調査では、600人以上のIT・セキュリティ専門家からの回答を収集。VPNに関する最大の懸念は「セキュリティとコンプライアンスの維持」であり、全体の56%がこの点を指摘した。特に92%がVPNの脆弱性に起因するランサムウェア攻撃を懸念し、93%がVPNを通じたバックドア侵入を問題視している。
従来リモートアクセス手段として重宝されてきたVPNだが、過剰な権限付与やパッチ未適用の状態、さらには設計上の脆弱性により、攻撃対象となるケースが増加。VPNはもはやセキュリティの足かせになっているといえる。
AIによる攻撃の加速と脆弱性悪用の現実
高度化するサイバー攻撃の中でも特筆すべきは、生成AIの悪用である。GPTベースのチャットボットを使い、標的企業が使うVPN製品の脆弱性(CVE)を瞬時に抽出する事例が報告されており、これまで数週間を要していた偵察活動が数分で完了するようになっている。
実際、外国の諜報グループによるVPNを標的とした不正アクセス事件も確認されており、脅威の現実性が増している。
CVE件数が5年間で8割増、深刻度も高まる
ThreatLabzの分析によると、2020~2024年の5年間でVPN関連のCVE(共通脆弱性識別子)は82.5%増加。このうち、約60%はCVSSスコアで「高」または「緊急」に分類される深刻なものであり、特にリモートコード実行(RCE)の脆弱性が目立つ。
VPNが依然としてインターネットに接続されたインフラとして存在する限り、こうしたリスクは避けられない状況にある。
実際の被害:VPN経由での個人情報流出も
VPNのリスクは理論上のものではない。例えば2024年2月、ある金融サービス企業ではVPNの脆弱性を突かれて約2万件の顧客情報が流出する事件が発生。設定ミスやパスワード管理の不備が引き金となったとされている。
VPNは認証後に広範なアクセスを提供する設計上、外部パートナーやベンダーも標的になり得る。攻撃者にとっては好都合な侵入経路であり、93%がこの点に懸念を抱いている。
ゼロトラストへ移行する理由と実践ステップ
VPNが限界を迎える中、ゼロトラスト・アーキテクチャーへの移行は不可避とされる。VPNベンダーがクラウド上での展開によって「ゼロトラスト」と称する例もあるが、根本的な設計思想が変わらない限り、その実効性は低い。
レポートでは、以下のゼロトラスト実装ステップを提示している。
- 攻撃対象領域の最小化:アクセスはネットワーク単位ではなく、アイデンティティ単位で制御。
- 脅威のブロック:最小権限アクセスと強固な認証により初期侵入を防止。
- 水平方向移動の防止:ネットワーク内での拡散を遮断。
- データ保護の強化:文脈に応じたポリシー施行で機密情報を保護。
- 運用の簡素化:AIを活用し、継続的な監視とポリシー自動化で効率向上。
このように、ゼロトラストは単なるセキュリティ対策に留まらず、業務効率や事業継続性の観点からも有効であるとされる。
レガシー技術からの脱却が急務
ゼットスケーラーのCSOであるディーペン・デサイ氏は、「今後、AIによる偵察や攻撃が自動化される中、VPNの存在そのものがリスクとなる。ゼロトラストこそがその対策であり、導入の動きが81%の組織で進んでいる事実がそれを裏付けている」とコメントしている。
VPNからの脱却は、単なる技術の更新ではなく、現代の攻撃手法に適応したセキュリティ戦略の再構築である。本レポートの全文は以下のリンクから入手可能である。
2025年版 Zscaler ThreatLabz VPNリスク レポート全文はこちら
出典:PRTimes 2025年版 Zscaler ThreatLabz VPNリスク レポートを発表、半数以上の組織がセキュリティとコンプライアンスのリスクをVPNの最重要課題と認識
