みなさん、こんにちは。
この度、当社ホームページの全面リニューアルにあたり、記念すべき第1号のコラムをお届けします。
日々、多くのIT環境に携わらせていただく中で、「危機感」を覚えているテーマがあります。それ
は、皆さんの業務に欠かせない「VPN」の安全性についてです。

VPNは、インターネットや通信事業者のネットワーク（WAN）の中に、暗号化された専用の「トンネ
ル」を作る技術です。
主な利用形態は、離れたオフィス同士を一つの社内ネットワークのように統合する「拠点間VPN」
と、外出先から社内へ接続する「リモートアクセスVPN」の2つです。これらにより、「場所を問わ
ず、社内のIT環境へ安全にアクセス」できる環境が整い、現代のビジネスには欠かせない仕組みで
す。

昨今、企業の事業継続を脅かす最大の脅威といえば「ランサムウェア（身代金要求型ウイルス）」で
す。警察庁が発表した2025年上期のデータによると、ランサムウェア被害に遭った企業・団体のう
ち、8割以上が「VPN機器」や「リモートデスクトップ用の機器」だったと報告されています。
コロナ禍以降、テレワークの普及により「とりあえずVPNを導入して社内に繋げる」という体制が一
般的になりました。しかし、攻撃者にとってVPNは「外部から社内ネットワークへアクセスするため
の標準的なアクセス経路であり、ここさえ突破すれば、あとは自由に社内サーバーを荒らし回ること
ができる絶好のターゲットとなってしまっています。

こうした状況を受け、IT業界では「VPNを廃止し、全ての通信を一切信頼しない『ゼロトラスト・セ
キュリティ』へ切り替えるべきだ」という声が強まっています。
確かに、ゼロトラストは現代において最も理想的なセキュリティモデルです。しかし、いざ導入しよ
うとすれば、高額なライセンス費用、既存システムの抜本的な改修、そして社員への新たな操作負担
など、多大なコストと時間がかかります。
企業の経営者や情報システム担当者の方々からすれば、「VPNは危ないから、明日から数千万円かけ
て最新のゼロトラスト環境に変えてください」と言われても、コストが見合わず「現実的には難し
い」というのが本音ではないでしょうか。 私たちも、インフラの現場を預かる身として、そのお気持
ちは痛いほど分かります。

では、なぜ多くの企業がVPNから侵入されてしまうのでしょうか。
「VPNという仕組み自体が古くて欠陥があるから」だと思われがちですが、実態は少し異なります。
下記は実際に起きた事例です。

事例1：脆弱性の放置（パッチ未適用）

メーカーから修正プログラム（パッチ）が公開されていたにもかかわらず、運用の手間で数ヶ月間
アップデートを後回しにしていた。その隙を突かれ、既知の弱点を利用して侵入されたケース。

事例2：認証情報の流出と使い回し

社員がフィッシングサイトなどでVPNのID・パスワードを盗まれてしまった。さらに、多要素認証
（スマホへの通知承認など）を設定していなかったため、攻撃者が「正規のユーザー」になりすまし
て堂々とログインしたケース。

事例3：設定ミスと不要なアカウント

退職した社員のアカウントが削除されずに残っていたり、管理者用のパスワードが「初期設定のま
ま」だったりしたことで、総当たり攻撃によりパスワードを破られたケース。

これらの事例を分析すると、共通点が見えてきます。
それは、「VPNそのものの仕組みが悪い」というより、「運用や設定・調整の不備」で回避できたは
ずのケースが非常に多いということです。

ゼロトラストへ無理に背伸びをする前に、まずは今あるVPN環境を「正しく、安全に」使いこなせて
いるか、以下のポイントをチェックしてみてください。

1. アップデートの自動化・即時化

VPN機器のファームウェア更新を「後回し」にしていませんか？ 脆弱性情報は常に攻撃者も狙って
います。

2. 多要素認証（MFA）の導入

パスワードだけの認証は、もう限界です。スマートフォンのアプリやSMSを組み合わせた「二段階
認証」を取り入れるだけで、突破されるリスクは劇的に下がります。

3. デバイス認証（クライアント証明書）による「入り口」の限定

従来のID・パスワードによる認証は、情報の漏洩や使い回しといった「人的リスク」を完全には排除
できません。そこで今、注目されているのが「クライアント証明書」を用いたデバイス認証です。こ
れは、会社が許可した特定の端末以外からの接続を物理的に遮断する仕組みです。確実に管理された
端末のみを「入り口」とすることで、たとえIDやパスワードが盗まれたとしても、未許可のPCや海
外の攻撃者からの侵入を根本から防ぐことが可能になります。ユーザーの利便性を損なわず、かつ
「誰が」ではなく「どの端末か」を厳格に管理することが可能となります。

4. 不要な入り口の封鎖

外部からアクセスする必要のない部署や、すでに使われていない古いアカウントが残っていません
か？ 最小限の権限設定が鉄則です。

5. 死活監視とログのチェック

「夜中に海外から何度もログイン試行がある」といった不自然な挙動に気付ける体制になっています
か？

6. VPNプロトコル（接続方式）の切り替え

認証方式の安全性が破綻しているPPTP、クライアントOSで廃止が進むL2TPはもとより、これまで
主流だったSSL-VPNも昨今の脆弱性を突いた攻撃の標的となりやすく、近年では主要なネットワー
ク機器ベンダーが自社OSでの機能廃止やIPsecへの移行を打ち出すなど、業界全体が大きな転換期を
迎えています。高額な投資をせずとも、接続方式をより堅牢な「IKEv2（IPsec）」へ切り替えるだ
けで安全性は劇的に向上します。「つながるから安心」ではなく、接続の仕組み自体が現代の脅威に
耐えうるか、再確認が不可欠です。

VPNは、離れた拠点、ユーザーを繋ぐ重要なツールです。コストを抑えつつ、最大限の安全を確保す
るための「現実的なインフラ整備」こそが、多くの企業に求められていると考えています。
当社では、ネットワーク環境の構築から、こうした泥臭い「運用保守・設定の見直し」まで幅広く手
がけております。「今のVPNで大丈夫だろうか？」「何から手をつければいいか分からない」という
不安がございましたら、ぜひお気軽にご相談ください。
貴社のITインフラを、安心・安全なものにするために、私たちがサポートさせていただきます。