メニュー
ゼロトラストVPN

レガシーVPNからの脱却

無料

サービス紹介やお役立ち資料を
無料でご活用いただけます

ゼロトラスト時代にVPNは不要との誤解

ゼロトラストネットワーク(ZTNA)こそが、次世代のネットワークアーキテクチャといわれ、VPNは時代遅れとの記事やニュースを目にすることが増えてきました。

しかしながら、VPNには、様々な種類が存在し、企業のバックボーンで利用されるIP-VPNやゼロトラストネットワーク環境で利用されるVPNなどもあるためVPNを一括りにして時代遅れ、セキュリティリスクありと論じることは、誤解を招くこともあるだろうと私たちは考えています。

このような記事やニュースが出てくる背景には、主にリモートアクセスなどで利用されるレガシーVPN/オンプレミス型VPN(Internet VPNなど)が持つ様々な課題や問題点にフォーカスされていることにあると考えています。レガシーVPNとは、企業内に設置したVPN装置にPCにインストールされたVPNクライアントから通信経路を確立し利用するもの』をそのように呼んでおり、従来型VPN、オンプレミス型VPNなどと表現されることもあります。

では、レガシーVPNとはどういったもので、どのような問題を抱えているのかをまずは見ていきましょう。

レガシーVPNとは?

レガシーVPNと呼ばれるものの多くは、「企業内ネットワークにVPN装置を設置し、PCにインストールされたVPNクライアントから、このVPN装置に対して安全な通信経路を確立し暗号化通信することで、企業内ネットワークと安全に接続するもの」です。

これは、企業のネットワークは、インターネット上の様々な脅威からの侵入を防止する目的でFirewallなどを設置し、外部からのアクセスをブロックしつつ、許可されたユーザーのみ企業内へ通信を可能する。そして、その通信経路を仮想的に閉域網化することで、「インターネット上で通信パケットをモニタリングされ、通信内容を解析されること」の防止を主な目的としています。

では、まだ多くの企業で利用されているレガシーVPNにはどのような課題があるのでしょうか?具体的には、以下のような課題が指摘されています。

レガシーVPNの課題

  • セキュリティの低さ(サイバー攻撃に弱い)
  • 認証の弱さ(認証強度が弱い)
  • スケーラビリティが低い(拡張性が低い)
  • アクセスの柔軟性が低い(通信経路が限定され非効率)
  • ユーザー頼み
  • オンプレミス装置との親和性が低い
  • コスト効率の悪さ

セキュリティの低さ(サイバー攻撃に弱い)

まずはじめに、セキュリティの低さ、セキュリティリスク低減の難しさが挙げられます。レガシーVPNは、データセンターやサーバールームに設置されたVPN装置にPCにインストールされたVPNクライアントから接続することで利用します。では、このPCは認証を行うために、インターネットを経由してどこにアクセスするのでしょうか?当然ながら、VPN装置です。インターネット上を流れるIPパケットには宛先情報が含まれるため、このVPN装置を宛先とした通信を行っているという情報が悪意ある第三者から見えてしまいます。つまり、VPN装置はここにありますよ、ということが、利用者以外からもわかってしまうのです。

VPN装置の場所が分かったからと言って、すぐに危険なわけではありませんが、この装置に脆弱性があった場合、それを利用して企業内ネットワークに侵入、またはVPN装置から認証情報を取得するということが可能になります。事実、VPN装置の脆弱性を悪用された事故が頻発しており、脆弱性の対応がされていないVPN装置のIPアドレスが、ハッカーが集うサイトで公開されていることも確認されています。

また、警察庁の調査によると、ランサムウェアにあった国内企業のうち、その感染経路の実に66%がVPN装置からの侵入となっており、適切な管理運用が行われなければ危険なポイントになりえます。

引用元:警察庁「令和7年におけるサイバー空間をめぐる脅威の情勢等について」

認証の弱さ

レガシーVPNの多くは、ユーザー認証にIDとパスワードを利用しています。ID/パスワードの危険性は、いまさら説明するまでもないと思いますが、VPNに限らず、ID/パスワードは、使いまわし、総当たり攻撃、漏洩など様々な問題を抱え、それを悪用した犯罪が後を絶ちませんVPN接続においても、二段階認証や証明書により認証強度を高める施策も存在はしていますが、ユーザー自身が正規の方法で利用しないシャドーITでは、この方法も万全とは言えません。証明書のコストや有効期限管理も課題の一つです。

また、ID/パスワードを不正利用しVPNから侵入するケースでは、情報を搾取する、ウイルスに感染し業務を停止させることを目的とされるケースも多く、大きな被害が出るまで侵入されたことに気が付きにくいといった特徴があります。また、侵入者は、必要な情報を入手すると、最後は侵入の痕跡を消去し何事もなかったかのように立ち去ることさえあります。正しいID/パスワードを利用しアクセスされた場合、それを使っているのが正規のユーザーなのか、不正アクセスを目的としたハッカーなのかを見分けることが困難なのが、ID/パスワードの弱点であり、認証の弱さにつながっています。(関連記事:『認証と認可を実現するIAMについて』

スケーラビリティが低い(拡張性が低い)

レガシーVPNは、企業内にVPN装置を設置し、この装置が外部からの通信と社内ネットワークをつなぎます。ハードウェアであるこの装置には、当然ながら性能というものが存在しています。つまり、同時接続可能な人数、通信可能なデータ量といったものに性能限界が存在しています。そのため、急激な接続数や通信量の増加への対応が難しく、VPN利用者や通信量の急増に対しての拡張性が弱いという欠点があります。

この場合、「VPN装置をより性能の高いものに変更する」、「新たな装置を追加する」などの対応が必要になりますが、当然ながら費用や構築期間が必要となるため、需要に合わせて即時にアップスケールするといったスケーラビリティが低い(拡張性が低い)という課題が出てきます。

急激な需要の変化へ対応することが難しく、その結果、ユーザーが接続できない、快適な通信速度で利用できないといった状況が発生することで、ユーザーの不満や業務効率の低下を招きます。

アクセスの柔軟性が低い(通信経路が限定され非効率)

VPN装置とPCをつなぐことで安全な通信を実現するレガシーVPNですが、その通信経路については、非効率さが目立ちます。

インターネットにアクセスする経路は、
PC→VPN装置→企業内ネットワーク→企業のFirewall→インターネット
という経路を通ることが一般的です。この経路には、VPNを利用しているユーザーの通信状況をFirewallで確認し、制御することができるメリットがある一方、すべての通信を一旦は企業内ネットワークに集めることから、VPN装置だけにとどまらず、企業内ネットワークやFirewallの負担が増加してしまいます。

また、レガシーVPNでは、その通信経路上でルート制御をできないケースが多く、通信集中による問題を解決したいといった要求を実現することが容易ではありません。

ユーザー頼み

レガシーVPNの多くは、ユーザー操作によって接続を開始します。そのため、ユーザーが操作をしなければ、PCはインターネットと直接通信をしています。「Webで調べ物をする」、「クラウドサービスを使う」、「個人的にSNSを閲覧する」、このいずれも、VPNを利用することを必須としないため、ユーザーからすればVPNを利用しなければならない意識が薄れる傾向があります。普段、スマートフォンでインターネットを利用している多くのユーザーにとっては、VPNを利用しないことの危険性を理解するのは難しい面もあります。VPNを利用するかどうか、それはユーザー次第という状況には、思わぬ落とし穴があります。

オンプレミスとの親和性が低い

SaaSや、ZTNAの世界では、オンプレミスこそレガシーかもしれません。しかし、企業にとって、インフラストラクチャーを大きく変えていくことは数年単位のプロジェクトになることもあります。オンプレミス環境を今日なくすことができる、そういった企業は少ないでしょう。そして、レガシーVPNは、こういったオンプレミスにある、さまざまな装置との相性がよくありません。

わかりやすい例として、「AD(Active Directory)を利用し、Windows ログインを管理しているケース」を想定してみましょう。

Windows PCの不正ログインを防止するために、一定間隔でのWindowsパスワードの更新を求めている企業は多いでしょう。また、ネットワークにつながず長期間利用されるとの防止や、紛失対策としてキャッシュログイン(パスワードの有効期間が切れても、Windows PCにログインできる機能)を無効にしているケースも多くあると思います。

つまり、ユーザーは社内ネットワークに接続し定期的にAD認証を行う必要があります。これにより、AD連携によるパスワードの定期更新などが確実に実施できるわけです。

ですが、レガシーVPNを使ったケースではどうなるでしょうか?レガシーVPNの多くは、Windowsにログオンし、VPNクライアントを起動することで、初めて企業内ネットワークとの通信が可能になる、ADと連携が可能です。

ここで、気になることはありませんか?パスワードの有効期限が切れ、Windowsログオンができなければどうなるでしょうか?Windowsにログオンできないため、当然VPNクライアントは起動できない。つまり、PCはVPNを経由してADと通信させることができないため、パスワードの更新ができない。でも、ADと通信しパスワードを更新しなければWindowsにログオンできない。そう、デッドロックしてしまうのです。働き方が多様化する時代を迎え、様々な場所でPCを安全に使う環境が求められる今、セキュリティレベルを下げずこのようなデッドロックを起こさない仕組みの実現は、レガシーVPNでは難しいのです。

コスト効率の悪さ

レガシーVPNはインフラストラクチャーを所有したり、メンテナンスを行ったりする必要があり、隠れたコストが発生しています。また、スケーラビリティが低いため、状況に応じた設備増強などが必要になってきます。

某大手VPNベンダーのSSL-VPNが技術サポート終了

レガシーVPNの代表的な方式としてSSL-VPNがありますが、このSSL‑VPN(Secure Sockets Layer Virtual Private Network)とは、Webサイトの暗号化で広く使われる SSL/TLS(HTTPS と同じ仕組み) を応用し、インターネット経由で社内ネットワークや特定の社内アプリケーションへ 暗号化されたリモートアクセス を提供する方式です。ここで言う SSL は暗号通信プロトコルの世代名称で、現在は SSL の脆弱性を改善した後継の TLS が主流 となっています。しかし歴史的経緯から「SSL/TLS」や慣用的に「SSL」と表記されることが多く、現在では TLS 世代も含めた総称として“SSL‑VPN” が使われています。

SSL-VPNは導入容易性と利便性からリモートワークの拡大とともに普及した一方で、近年は 深刻な脆弱性の報告が相次いでいることが大きな課題 となりました。脆弱性が頻発すると都度パッチ適用が必要となり、運用の手間やダウンタイム(装置再起動・切替)による業務影響 が避けにくくなります。その結果、公開直後のパッチを即時に適用しづらい現場も一定数存在し、サイバー攻撃のリスクが残存する悪循環 が指摘されてきました。

そのようなSSL-VPNですが、2025年に某大手VPNベンダーが、SSL‑VPNの“トンネルモード機能“を削除し、技術サポートを終了するという衝撃的な発表がされました。
米国では 2021年に NSA(国家安全保障局)と CISA(サイバーセキュリティ・社会基盤安全保障庁) が共同文書 『Selecting and Hardening Remote Access VPN Solutions』を公表し、可能な限りIPsec 方式を用いて、SSL‑VPN およびフォールバック機能を無効化するといったハードニング方針が提示されたため、国際的なセキュリティ強化の流れによって某大手VPNベンダーが “技術サポート終了” という決断をしたものと考えられます。
なお、SSL‑VPN を巡る深刻な脆弱性問題を踏まえると、他のVPNベンダーにおいても ”SSL-VPN依存の見直し” が進む可能性は十分にあると考えられます。

クラウドVPNなら、様々なメリットがある

このように、レガシーVPNには様々な問題があります。また、実際にレガシーVPNが原因となるセキュリティインシデントが起きている今、VPNが時代遅れといわれるのはこういったレガシーVPNの持つ課題・現状からきているものが多いと私たちは感じています。

ゼロトラスト時代に求められるVPN

では、ZTNA時代に求められるVPNとは、どういったものでしょうか?

――――その一つが、クラウドVPNです。

クラウドVPNは、これまでに挙げたレガシーVPNが持つ多くの課題を解決できます。クラウドVPNにも様々な種類がありますが、利便性とセキュリティのバランスが取れたVAIOが提供するソコワクを例に、見てみましょう。

スケーラビリティの高さ

VAIOが提供するソコワクは、世界中で80億台、日本国内でも2億台が利用されている携帯電話の認証方式を活用し、非常に効率的な認証と、安定した大容量高速通信を実現しています。十分な能力を持ったクラウド認証装置によって、急な利用者の増加にもタイムリーに、かつ余裕を持った対応が可能です。

認証強度が強い

一般的なレガシーVPNやクラウドVPNが採用している「IDとパスワード」を用いたユーザー認証では、情報の使い回しやフィッシング詐欺による漏洩リスクが課題となります。これに対し、ソコワクはパスワードレスの「個体認証」を採用しており、ユーザーの利便性を損なうことなく、高いセキュリティを実現しています。皆さんも、携帯電話を使った多要素認証を利用した経験があるのではないでしょうか。近年、携帯電話は「Something You Have(所有要素)」として認証に活用されています。これは各携帯電話が個体認証されており「同じ個体が存在しない」という特性に基づいた認証方式で、高い安全性を持つ点が特徴です。 ソコワクは 、この携帯電話で利用されている認証方式をあらゆるIPネットワーク上で利用可能(Wi-FiやLAN、LTEなど)にすることで、VPN接続における個体認証を実現し、不正アクセスを防止 しています。認められた個体(PC)以外からのアクセスは一切許可されないため、シャドーITや認証情報の不正利用といったリスクを排除できます。

セキュリティの高さ

ソコワクの認証装置には、インターネットから直接アクセスすることはできません。アクセスには指定されたGWを通過する必要があり、複雑なキー交換方式によって許可された端末のみ通過が可能です。携帯キャリアを乗り換えたら、APNを書き換えないとスマートフォンが通信できなかった。そんな経験はありませんか?これは、認証装置の手前で、その端末が認証装置との認証手続きに入ることが許可された端末かどうか、その確認をしているためです。携帯電話のテクノロジを利用しているソコワクも、正しい情報を送らなければ、認証装置との通信すら認めません。このように、認証装置は前段で保護されており、セキュリティ対策も万全です。

そして、機器の脆弱性対応や安定稼働に必要な作業から情報システム部門の方々を開放できるマネージドサービスというメリットもあります。

アクセスの柔軟性

ソコワクは、当然ながら社内ネットワークにアクセスするための手段として利用できますが、経路上でインターネットに抜けることも、主要なクラウドプロバイダーに専用線で接続することも可能です。これにより、通信の負荷分散や、クラウドアクセスの速度向上などが実現でき、柔軟なネットワーク構成が実現可能です。

無意識に実現される安心

ソコワクは常時接続、自動接続です。ユーザーが操作すること無く、PCを常に指定した通信経路に接続させることで、インターネットの様々なリスクから守ることが可能です。これによって、PCの通信は必ず決められた経路を通るため、端末通信のログ収集なども確実に行えるメリットがあります。

オンプレミス装置との親和性が高い

ソコワクの常時接続・自動接続には、他のVPNと比較し大きな特徴があります。それは、システムレベルでの常時・自動接続を実現していることです。つまり、Windowsログイン画面では、すでにADとの通信が可能となっています。これにより、PCがネットワークに接続すると同時に、たとえユーザーがログインしていなくても、ADは端末との通信が可能です。他にも、資産管理システムに情報を送信させるといったことが可能になり、PCがどこにあっても、あなたの会社が持つオンプレミス環境の監視下に置くことが可能です。

コスト効率の高さ

クラウドVPNは、レガシーVPNと比較して、インフラストラクチャーを所有したり、メンテナンスを行ったりする必要がなく、コストを削減することができます。また、必要な構成に応じてサービスを購入するため、使用しないリソースに対して支払う必要がなく、コスト効率が高くなっています。

クラウドVPNのさまざまなメリット

  • スケーラビリティの高さ
  • 認証強度が強い
  • セキュリティの高
  • アクセスの柔軟性
  • 無意識に実現される安心
  • オンプレミス装置との親和性が高い
  • コスト効率の高さ

VPN方式の選定チェックリスト

自社に最適なVPN方式は、業務内容や運用体制、求めるセキュリティ水準によって大きく異なります。
以下のセルフチェックで、自社に合うVPNの方向性を簡単に確認してみてください。

Q1 レガシーVPNの脆弱性が自社の脅威になり得ると感じている(5点)
Q2 セキュリティパッチ更新などのメンテナンス作業を減らしたい(2点)
Q3 運用要員が限られ、ユーザーからの問い合わせ対応に追われがち(1点)
Q4 利用者向けのセキュリティ教育やマニュアル作成に手間がかかっている(1点)
Q5 社内にネットワーク管理体制がなく、障害時の対応に不安がある(3点)
Q6 利用端末の追加・削除が頻繁に発生し管理が煩雑と感じる(1点)
Q7 外出・出張・在宅勤務など、社外からのアクセスが常態化している(1点)
Q8 VPN機器の更新費用・保守費用を月額で平準化したい(1点)

<判定方法>
YES の合計が 4点以上 → クラウドVPNが最適
YES の合計が 0〜3点 → レガシーVPNが適している可能性

ゼロトラスト実現に向けて

ゼロトラストは、現代のセキュリティにおける重要なアプローチであり、従来のネットワークセキュリティの課題を克服するために、企業が採用すべきセキュリティのアプローチの1つですが、クラウドVPNが持つ様々なメリットを、ゼロトラストと組み合わせることで、よりセキュアで柔軟なアクセスを実現することができます。

5分でわかる

ソコワクサービス紹介資料

  • ソコワクの特徴やサービス
  • リモートアクセスサービスの比較表
  • ソコワクの詳細料金表やアフターサポート
  • 導入までのフォロー

資料はソコワクに関する情報をまとめたPDFです。特徴やサービスについてわかりやすく・簡潔に5分で理解できるように作られておりますので、部署の方や上席の方への説明資料としてご利用ください。

執筆者
VAIO株式会社
開発本部 ITソリューションセンター/センター長
安藤 徹次
執筆者
VAIO株式会社
開発本部 ITソリューションセンター/チーフセキュリティエンジニア
瀧川 晶義

保有資格:情報処理安全確保支援士(登録番号:第018873号)

VAIOは、これまでVAIO事業の拠点としてきた長野県に本社を構え、経営・開発・製造一体で運営し ています。成熟期に入ったPC市場の中で、法人向けのビジネスを強化。20年以上PC開発で培った技術力とノウハウをもとに、ハイブリッドワーク時代は無視できないセキュリティの不安解決にも注力しています。このブログを通じて、法人の皆様のセキュリティ強化に役立つ情報を読みやすいコンテンツにまとめてお届けしていきます。

Learn More導入にあたって気になるポイントを詳しく解説します

Download
ソコワクがよくわかるお役立ち資料

5分でわかるソコワク紹介資料

特長やサービスについてわかりやすく・簡潔に5分で理解できる資料です

最新のサイバー攻撃手法と
その対策がこの一冊でまるわかり!

なぜ、情報漏洩は起きるのか?どう防止すれば良いのか?をわかりやすく解説しています。

ソコワクのすべて

なぜVAIOがVPNを開発したのか、そのすべてがわかる資料です