【警察庁データでわかる】ランサムウェア侵入の6割はVPN~いま企業に必要なのは「脱VPN」ではなく“ネットワーク構造の再設計”~

近年、VPNを狙ったサイバー攻撃が増加し、企業・自治体を問わず深刻な被害が相次いでいます。
実際に、大手企業でのランサムウェア被害有名企業の業務停止 が大きく報道され、VPN経由での侵入リスクが一気に注目されるようになりました。

特に問題なのは、一度VPNを突破されると社内ネットワーク全体へアクセスされてしまう という構造そのものが、攻撃者にとって“狙いやすい入口”になっている点です。

こうした背景を受け、多くの組織が注目しているのが ゼロトラストセキュリティ
本記事では、なぜ従来の仕組みだけでは守り切れないのか、そしてゼロトラストがどのように安全性を高めるのかを、簡潔にわかりやすく解説します。

ランサムウェア被害が示す現実

近年、ランサムウェア被害が明らかに増えています。
「大企業だけの問題」と思われがちですが、実際には 中小企業の被害が急増 しています。
その理由はシンプルで、

  • IT担当者が少なく対策が遅れやすい
  • VPNやリモートアクセス機器の管理が十分にできない
  • 攻撃者から“入口が見えやすい”企業が多い

とくに深刻なのが「侵入経路」です。

まずは、攻撃の全体像をつかみたい方はこちらもおすすめです
ランサムウェアとは?VPNの脆弱性を突いた攻撃とその対策を解説

侵入の6割はVPN —— 警察庁が示す数字

警察庁『令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について』では、
ランサムウェア被害の 62%がVPN機器からの侵入 でした。

参考: 令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について 

  • VPN:28件(62%)
  • リモートデスクトップ:10件
    → 合計 85%以上が“リモートアクセス経由”

これは「VPNが悪い」のではなく、
遠隔接続が前提の働き方になったことで“入口”がひとつに集中しやすい構造になっている
という事実を示しています。

つまり、多くの企業は“VPNまわりを入口として攻撃されている”。

被害件数は高止まり、中小企業も広く標的に

同じく警察庁の統計では、企業・団体におけるランサムウェア被害件数が
令和3年以降、明確な増加傾向 にあります。

参考: 令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について 

  • 令和4年:100件超
  • 令和5〜7年:90〜120件前後で横ばい
  • 最近は「ノーウェアランサム」など新手法も登場

ランサムウェアは“一過性の話題”ではなく、長期的な経営リスクとして定着している。

これは、企業がセキュリティを「整備すべき理由」そのものです。

いま課題なのは「VPNそのもの」ではない

VPNは長い間、
“社内ネットワークへ安全に接続するための仕組み”
として役割を果たしてきました。

しかし、現在の働き方では次の問題が表面化しています。

VPN機器の脆弱性を突かれる

パスワード漏洩→不正ログイン

認証方式が古い(ID/パスワードだけ等)

接続すると社内ネットワーク全体にアクセスできる

つまり攻撃者視点では、

「入口だけ破れば社内全部に届く」という構造自体が最大の弱点になっているのです。
ここで強調したいのは、
VPNが悪いのではなく、“社内中心”のネットワーク構造が時代に合わなくなった
という事実です。

必要なのは「脱VPN」ではなく“構造の再設計”

テレワークや外部接続が前提の現在、
従来モデルの「社内に入る=全部に触れる」
という構造では、防御が成り立ちません。

そのため多くの企業では、
「VPNを使うか使わないか」の議論ではなく、

ネットワークの設計思想をゼロから見直す流れが加速しています。

その実現方法がゼロトラスト / SASE(Secure Access Service Edge)です。
これらは、

  • 必要な人が
  • 必要な場所に
  • 必要な範囲だけ

アクセスできるようにするための設計思想・仕組み。

VPNの利便性は保ちながら、「全アクセス可」の古い構造だけをアップデートする考え方です。

“リモートアクセス前提の時代”だからこその必須対策

現在は誰でもランサムウェアに狙われる時代です。
とくに攻撃者が最も狙うのは

という「入口部分」。

だからこそ

は“最新トレンド”ではなく、
現代の働き方に必要な基本的な防御 になりつつあります。

これは大企業だけでなく、
IT担当者が少ない中小企業ほど重要です。

まとめ

本記事でお伝えしたかったポイントは以下の3つです。

ランサムウェアの入口は「リモートアクセス」が圧倒的多数

VPNが悪いのではなく、社内中心の旧来ネットワークが限界

いま必要なのは“脱VPN”ではなくネットワーク構造の再設計

ネットワークと働き方が大きく変わった今こそ、
改めて自社の仕組みを見直す時期に来ています。

ゼロトラストやSASEをさらに深く理解したい方は、こちらで導入プロセスまで整理しています
SASE(サシー)とは?概要から製品導入までわかりやすく解説

さらに詳しく学びたい方へ

【ウェブセミナー資料】中堅企業にSASE/ゼロトラストは必要なのか?どこまでやるべきなのか?

1,000ユーザー規模・IDaaS導入済み企業を例に、現実的かつ無理のないゼロトラスト導入のステップを解説。
中堅企業が最低限押さえるべき要素や、他社がどのように取り組んでいるかを事例とともにご紹介します!

ゼロトラスト・SASEを基礎から理解できるオンラインセミナー

最新の攻撃傾向や、中小企業でも取り組める現実的な対策を
わかりやすく解説しています。情報収集段階の方も歓迎です。

まずは相談したい方へ(無料ヒアリング)

「自社にSASEが必要か知りたい」「どこから手を付ければ?」
そんな疑問をお持ちの方は、まずはお気軽にお問い合わせください!