常深有紗 
最近、ある大手企業で発生したランサムウェア被害が報道されました。記者会見では、攻撃者が初期侵入経路として「VPN経由」を悪用した可能性が指摘されており、VPNのセキュリティリスクが改めて大きく注目されています。
警察庁の統計でもランサムウェアの被害は、「VPNやリモートデスクトップなどのリモートアクセス経由」が企業・団体で発生した侵害の8割超を占めています。
特に中小企業では、限られた人員や予算のなかでシステムを運用しているため、脆弱性対応や設定不備を突かれやすく、攻撃の踏み台にされるリスクが高まっています。
こうした状況で、従来の「社内に入れば安全」という前提のVPNモデルには限界が見え始めています。
本記事では、VPNが抱える構造的な問題と、中小企業が直面する現実的な課題を整理しながら、ゼロトラストの考え方を取り入れた“脱VPN”の方向性を紹介します。
当記事の内容について、さらに詳しく解説した資料はこちら
https://solution.kamome-e.com/documents/20250919/
目次
1. VPNの限界
これまでのセキュリティは「社内=安全」「社外=危険」という境界防御が前提で、リモートワークでも「VPNにつなげば安全」という考え方が一般的でした。しかし、現在のIT環境ではこのモデルが成り立たなくなっています。
業務の多くは Microsoft 365 や Google Workspace などのクラウド上で完結し、「社内ネットワーク」という境界そのものが曖昧になりました。さらに、スマートフォンやBYOD、IoT機器など多様なデバイスが利用され、「社内にある端末=安全」という前提も崩れています。
加えて、VPN機器自体が攻撃対象となるケースも増えています。脆弱性や設定不備を突かれると、攻撃者はVPNを経由して社内システムへ広範囲に侵入でき、情報漏えいやランサムウェア被害につながる恐れがあります。
そのため、これからはユーザー・デバイス・アプリごとにアクセスを都度確認し、必要最小限の権限で制御する「ゼロトラスト」の考え方が重要です。
VPNは一つの手段ですが、VPN中心の防御モデルからの転換が求められています。
VPNのセキュリティリスクについてはこちらをご覧ください。
VPNのセキュリティリスクとは?
2. ランサムウェアの被害が「中小企業」に集中している理由
「攻撃の矛先は大企業だろう」と思われがちですが、実際にはランサムウェア被害の多くが中小企業で発生しています。理由は単なる“狙いやすさ”だけではありません。
① シャドーIT・共有アカウントが招くリスク
シャドーIT
中小企業では、業務効率を優先するあまり、管理者が把握していないSaaSやクラウドサービス、いわゆるシャドーITが利用されているケースが少なくありません。
これらのサービスは認証設定や利用状況の管理が不十分なことが多く、漏えいしたID・パスワードがそのまま「正規アカウントによる侵入口」になりやすい点が問題です。
特にVPNを利用している環境では、シャドーIT経由で流出した認証情報や共有アカウントが悪用されることで、攻撃者がVPN接続を突破し、社内システムへ容易に侵入してしまいます。さらに、VPN接続後の通信や操作が十分に可視化されていない場合、不正アクセスに気付くことも難しくなります。
共有アカウント
共有アカウントの利用も、被害を拡大させる大きな要因です。
「誰が・いつ・どのシステムにアクセスしたのか」を特定できず、権限も過剰になりがちなため、一度侵入を許すと被害範囲の切り分けが困難になります。
また、共有アカウントはVPNとの相性が悪く、多要素認証や端末制御が形骸化しやすい点も見逃せません。利用者や端末を識別できないまま接続を許可してしまうため、侵入後の行動を制限できず、ファイルサーバやクラウド管理画面まで被害が一気に広がり、ランサムウェア被害を深刻化させます。
② 予算と人材が不足している
中小企業では、専任のセキュリティ担当者や高価なソリューションを導入しにくく、結果として日常的な対策が後回しになりがちです。
- 専用セキュリティ機器や24時間監視(SOC)の導入が難しい
- 外部委託も限定的で、脆弱性対応や異常検知が後回しになりがち
- IT担当者が少人数で他業務と兼任し、パッチ適用やログ確認が手薄
- 古いOS・システムを使い続け、修正不可能な脆弱性を抱えやすい
こうした「構造的な弱さ」が攻撃者に狙われる大きな理由になっています。
③ 取引先として狙われる「踏み台リスク」
攻撃者は、いきなり大企業を狙うよりも、取引先の中小企業から侵入する方が効率的です。
リモートワークでVPN利用が増えたことで、
- 設定ミス
- 多要素認証の未導入
などが侵入口となっています。
いったん中小企業の環境に侵入できれば、取引先ネットワークやクラウドサービスへの不正アクセスを狙う「踏み台」として悪用されるリスクも高まります。
このように、中小企業が直面するリスクは、単なる脆弱性対策だけでは防ぎきれません。VPNや社内ネットワークを前提とした境界防御では、シャドーITや多様なデバイス、IDの乱立といった実態に対応することが難しくなっています。
だからこそ、ユーザー・デバイス・アプリごとにアクセスを都度検証し、必要最小限の権限で制御するゼロトラストの考え方が重要です。
ゼロトラストについて詳しくはこちらをご覧ください。
ゼロトラストモデルとは
この仕組みの中核となるのがZTNA(Zero Trust Network Access)です。
ZTNAでは、ユーザーの本人確認、端末の安全性、アクセスする場所や時間・リスクスコアなどのコンテキスト情報を基にアクセス可否を判断します。
アクセス権限は必要最小限に制限され、利用中も継続的に監視されるため、VPNのように「一度つなげば社内資源に自由にアクセスできる」状態を防げます。
ZTNAについて詳しくはこちら
小規模組織が直面するもう一つの壁―「大企業向け製品が合わない」
ゼロトラストの考え方や効果は理解できても、いざ導入を検討すると、中小・小規模組織にとっては現実的ではない課題に直面するケースが少なくありません。
多くの海外製ZTNAやSASE製品は、数千〜数万ユーザー規模の企業利用を前提とした設計やライセンス体系となっており、初期費用や運用コストが中小企業の予算を大きく超えてしまうことがあります。機能が豊富である一方で、「まずはVPNを置き換えたい」「少数のユーザー・端末を安全に接続したい」といったニーズに対しては過剰な仕様になりがちです。
その結果、導入のハードルが高くなり、「一部から段階的に始めたい」という中小企業の期待に応えられていないのが実情です。
実際に、「問い合わせたら大規模前提の構成でコストが合わなかった」 「複数拠点・数千ユーザーを想定した提案を受けた」といった声も多く聞かれます。
こうした背景から、中小・小規模組織には、必要な機能に絞ったシンプルな構成、段階的に拡張できる柔軟性、分かりやすい料金体系、そして導入時の手厚いサポートが強く求められています。
そこで、かもめエンジニアリングでは、中小企業でも無理なく導入できるZTNA機能を備えたゼロトラスト接続サービス 「Keygateway C1」 をご提供しています。
Keygateway C1は、中小企業に必要な機能に絞った国産サービスのため、コストを抑えながらゼロトラストの第一歩を踏み出すことが可能です。
また、お客様の既存システムや運用状況を丁寧にヒアリングし、VPN代替からの段階的な導入まで、個別にご支援しています。
ご興味やご相談がございましたら、ぜひ下記フォームよりお気軽にお問い合わせください。
Keygateway C1のソリューションサイトはこちら
https://solution.kamome-e.com/solution/keyspider/
当内容について、さらに詳しく知りたい方はこちら
https://solution.kamome-e.com/documents/20250919/
事業・商品・サービスに関するお問い合わせ
製品に関するお問い合わせはこちら
※フリーメールでのお問い合わせは受け付けておりません。