top of page

【CSIJコラム39(2025,10,31)】
「78%強の企業が今後もVPNを継続利用

   ─ VPNは続く。けれど、守り方は変わる。」

NRIセキュアテクノロジーズ株式会社

GRCプラットフォーム部

中土井 洋平太


 「VPNが狙われている」「ゼロトラストの時代だ」──そんな声を聞く機会が増えています。しかし実際の企業の現場では、VPNは現在も主要なリモートアクセス手段であり続けています。

 ランサムウェア攻撃やVPN機器の脆弱性を狙うサイバー攻撃が相次ぐなかでも、78.5%の企業が今後もVPNを継続利用すると回答しています。VPNは“続いている”。けれど、その守り方は確実に変わりつつあります。

 

■VPN経由のサイバー攻撃は衰えず、社会的関心が再び高まる

 VPNを初期侵入経路とするサイバー攻撃被害は後を絶ちません。

 2025年夏以降、VPN機能を備えた海外製ファイアウォールをランサムウェアの侵入口とする攻撃が相次ぎ、国内でも同機器が多数稼働していることから、その影響は幅広い分野におよびました。

  こうした状況を受け、リモートアクセスのリスクに対する社会的関心が再び高まっています。IPA(情報処理推進機構)の「情報セキュリティ10大脅威 2025[組織編]」では、「リモートワーク等の環境や仕組みを狙った攻撃」が前年の9位から6位に上昇。出社回帰の流れが進んだことで、一時は関心が低下していたものの、VPNを狙う攻撃事例の増加や深刻な被害が複数報道されたことなどにより、再び注目が集まっています。

■企業の実態:VPNは依然として「現実解」

 こうした事故の多発を背景に、「VPNの利用を廃止する」といった抜本的な見直しを進める企業も一部に現れています。しかし、実際の動向を見ると、その流れはまだ限定的です。

 NRIセキュアテクノロジーズが2024年に実施した「企業における情報セキュリティ実態調査 2024 ※」によれば、

 ・78.5%の企業がVPNを今後も継続利用予定

 ・VPNの廃止を予定している企業は6.8%にとどまる

 すでに利用を停止した企業を含めても1割未満であり、VPNは依然としてリモートアクセスの“現実解”として定着していることがわかります。

■脱VPNを進める企業、その理由と実情

 VPNの使用停止理由として最も多かったのは「ゼロトラスト導入による脱VPN」(62.2%)。次いで「他社でのVPN経由侵害事例」(27.3%)が挙げられており、実際の被害が企業判断に影響を与えています。

 VPN機器の脆弱性が繰り返し狙われるなかで、「境界防御モデル」からの脱却を目指す動きが進んでいます。一方で、ゼロトラストへの移行は決して平坦ではありません。

 同調査で「ゼロトラスト導入を検討している」と回答した企業(367社)では、

  ・ツール選定の難しさ(52%)

 ・導入戦略の不明確さ(47.4%)

 ・予算確保の困難さ(36.2%)

 など、複数の実務的課題が挙げられています。

 こうした障壁の存在が、結果として「VPN継続」を選ぶ企業の多さにつながっていると考えられます。

■大企業を中心に進む「脱VPN」と「部分ゼロトラスト」

 比較的投資余力のある大企業では、こうした課題を乗り越えつつ脱VPNに踏み切る動きも見られます。従業員1万人以上の企業に限ると、「VPN使用を停止予定」と回答した企業は17.8%となり、全体平均の割合を大きく上回ります。

 さらに、従業員1万人以上の企業では48.9%がゼロトラストを全面または一部実装済みであり、こうした先行的な取り組みがVPN廃止の判断を後押ししていると考えられます。

 ゼロトラストを推進する企業が増えている一方で、VPNが主要なリモートアクセス手段であり続けている現実も変わりません。

 多くの企業にとっての焦点は、既存VPN環境をいかに安全に維持するかに移りつつあります。

 ・多要素認証(MFA)の導入

 ・機器の脆弱性管理とセキュリティパッチの適用

 ・ログ監視・異常検知体制の整備

といった基本対策を、確実に実行し続けることが求められます。

 ただし、こうした運用は年々複雑化しており、「VPN機器のセキュリティ運用負荷の上昇」を理由に停止を検討する企業も18.2%に上ります。結果として、専門事業者によるセキュリティ監視・脆弱性管理のアウトソースが現実的な選択肢として広がっています。

 今回の調査結果は、VPNをめぐる企業の選択が一律ではなく、各社の業務環境、投資余力、リスク認識に応じた現実的な判断の積み重ねであることを示しています。ゼロトラスト実装が進む一方で、VPNの現実的な運用強化も引き続き求められます。その両方を見据えた対応が、今後の企業における安全・安心なIT環境の実現の成否を左右するでしょう。

 ※企業における情報セキュリティ実態調査2024
  https://www.nri-secure.co.jp/download/insight2024-report

bottom of page