ランサムウェアの被害は年々深刻化しており、警察庁の統計でも「VPNやリモートデスクトップなどのリモートアクセス経由」が企業・団体で発生した侵害の8割超を占めています。
特に中小企業では、限られた人員や予算のなかでシステムを運用しているため、脆弱性対応や設定不備を突かれやすく、攻撃の踏み台にされるリスクが高まっています。

こうした状況で、従来の「社内に入れば安全」という前提のVPNモデルには限界が見え始めています。
本記事では、VPNが抱える構造的な問題と、中小企業が直面する現実的な課題を整理しながら、ゼロトラストの考え方を取り入れた“脱VPN”の方向性を紹介します。

1. VPNの限界

これまでの情報セキュリティは、「社内ネットワーク＝安全」「社外＝危険」という境界防御の考え方に基づいていました。そのため、リモートワークでも「VPNで社内ネットワークに接続すれば安全」というのが一般的な認識でした。しかし、このような単純なモデルは現代のIT環境では通用しなくなっています。

まず、業務の多くがクラウドサービス上で行われるようになりました。Microsoft 365、Google Workspace、Salesforceなど、社外のクラウド上で完結する業務が増えたことで、「社内ネットワーク」という概念自体が曖昧になっています。また、モバイル端末や個人所有のデバイス（BYOD）、IoT機器などが社内に混在し、「社内にある＝信頼できる端末」という前提が崩れているのです。

さらに、VPN機器自体が攻撃の標的となるケースも多発しています。設定ミスや脆弱性を突かれて侵入され、正規ユーザーになりすます攻撃も少なくありません。
一度VPNで認証を通過してしまうと、社内のさまざまなシステムにアクセスできてしまうため、攻撃者にとっては「ひとつの入り口で全てに侵入できる」構造になってしまいます。
その結果、社内での横展開や権限の悪用により、バックアップの暗号化や個人情報流出など深刻な被害につながることもあります。

こうした背景から、もはや「境界で守る」だけの防御では不十分です。これからは、ユーザー・デバイス・アプリごとに都度アクセスを確認し、必要最小限の権限で運用する「ゼロトラスト」の考え方が重要になります。加えて、多要素認証（MFA）や条件付きアクセス、ネットワーク分離、EDRによる監視など、侵入を前提とした多層防御を組み合わせることが求められます。

VPNは依然として有用な手段の一つですが、VPN中心の防御モデルからの転換が今、必要とされています。

VPNのセキュリティリスクについてはこちらをご覧ください。
VPNのセキュリティリスクとは？

2. ランサムウェアの被害が「中小企業」に集中している理由

「攻撃の矛先は大企業だろう」と思われがちですが、実際にはランサムウェア被害の多くが中小企業で発生しています。理由は単なる“狙いやすさ”だけではありません。

まず、予算と人材の不足です。専用のセキュリティ機器や24時間監視のSOCを導入できず、外部委託も限定的なため、脆弱性対応や異常検知が後回しになりがちです。IT担当者が少人数で他業務と兼任しているケースも多く、パッチの適用やログの確認、インシデント対応が遅れやすくなります。また、古いシステムを使い続けている点もリスクです。サポートが切れたOSや業務アプリを利用しており、修復困難な脆弱性を抱えたまま運用している企業も少なくありません。

さらに攻撃者は、いきなり大企業を狙うよりも、取引先や下請けの中小企業を踏み台にして侵入する方が効率的です。リモートワークの普及でVPN接続が増えたこともあり、設定ミスや多要素認証の未導入が侵入口になるケースも増加しています。加えて、従業員のセキュリティ意識の低さや、バックアップ・復旧体制の不備も、攻撃者にとって「割の良い標的」となります。

このように、中小企業こそVPNの限界を直視する必要があります。安全な接続だけでなく、多要素認証やアクセス制御、ネットワーク分離、エンドポイント防御、定期的なバックアップと訓練などを組み合わせてこそ、現実的で強固な防御体制が構築できます。

3. ゼロトラストという新しい常識

これまで多くの企業は「社内＝安全」「社外＝危険」と考え、ネットワークの境界で守る方式を取ってきました。
しかし今では、クラウド利用の拡大やリモートワーク、BYOD（私物端末の業務利用）が一般的になり、この考え方は限界を迎えています。

そこで注目されているのがゼロトラストという考え方です。
ゼロトラストは「どこからのアクセスでも信用せず、常に確認する」ことを基本原則とし、場所やネットワークの内外に関係なくすべての通信を検証します。

この仕組みの中核となるのがZTNA（Zero Trust Network Access）です。
ZTNAでは、ユーザーの本人確認、端末の安全性、アクセスする場所や時間・リスクスコアなどのコンテキスト情報を基にアクセス可否を判断します。
アクセス権限は必要最小限に制限され、利用中も継続的に監視されるため、VPNのように「一度つなげば社内資源に自由にアクセスできる」状態を防げます。

ゼロトラストについて詳しくはこちらをご覧ください。
ゼロトラストモデルとは

4. 小規模組織が抱えるもう一つの壁――「大企業向け製品が合わない」

ゼロトラストの利点は理解できても、導入を検討すると中小・小規模組織には現実的でない課題が浮上します。海外の大手ZTNAやSASE製品は、数千〜数万ユーザーを前提とした設計やライセンス体系で、初期費用や運用コストが中小企業の予算を大きく超える場合があります。機能が豊富な反面、「VPNを置き換えるだけ」「少数ユーザー・デバイスを保護するだけ」というニーズには過剰仕様です。

これにより導入障壁が高く、一部から段階的に始めたい組織の期待に応えられていません。実際、「問い合わせたら大規模前提の構成でコストが合わない」「SSL-VPNの代替だけを求めたのに複数拠点・数千ユーザーを想定した提案だった」といった声が寄せられています。これらは、スモールビジネス向けのシンプルな導入プラン、段階的拡張性、明瞭な料金体系、手厚いサポートを求める強い需要を示しています。

まとめ

VPNを狙った攻撃は増え続けており、その標的は大企業だけではありません。中小規模の組織はパッチ未適用や設定ミスを突かれやすく、攻撃の踏み台にされるリスクが高まっています。このような状況で有効なのがゼロトラストです。すべてを信用せず、認証やアクセス制御を細かく実施することで、侵害の拡大を防ぐことができます。

かもめエンジニアリングでは、ZTNA機能を備えたゼロトラスト接続サービス「KeygatewayC1」をご提供しています。
中小規模組織でも導入しやすい新プランもご用意しておりますので、ご興味・ご相談などございましたら、ぜひ下記フォームよりお気軽にお問い合わせください。

より詳細な説明はこちらからご覧ください。
https://solution.kamome-e.com/documents/20250919/

参考
令和６年におけるサイバー空間をめぐる脅威の情勢等について
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R6/R06_cyber_jousei.pdf?utm_source=chatgpt.com