VPN からゼロトラストへ、変化の本質と段階的な移行の考え方
テレワークや拠点接続において、社外からでも社内ネットワークを安全に利用するための仕組みとして、多くの企業で利用されてきた FortiGate の SSL-VPN 。 この機能が 2027 年 5 月以降、段階的にサポート終了に向かい、最新 OS では利用できなくなることが Fortinet 社より発表されました。
SSL‑VPN は FortiGate を導入している企業であれば追加投資の必要がなく、インターネット環境があればすぐに利用を開始できるという点から、多くの企業で採用されていました。にもかかわらず、廃止が決定した背景にはどのような理由があるのでしょうか。
■ FortiGate の SSL‑VPN 廃止の理由
SSL‑VPN は通信を暗号化し、利用者は専用ソフト(FortiClient)を起動して ID とパスワードを入力するだけで接続可能となるため、導入・運用が手軽で便利という利点があり、短期間で在宅勤務環境を整える必要があったコロナ禍においては、大変重宝された機能でした。
しかしその一方で、その便利さゆえにセキュリティの弱点にもなりました。 SSL‑VPN は社内ネットワークに広くアクセスできる構造のため、ひとたび侵入を許すと被害が拡大しやすく、近年は脆弱性を突いた攻撃が相次ぎました。
廃止の主な理由として、 Fortinet 社は次のような点を挙げています。
① 脆弱性の恒常的多発
SSL-VPN 機器が恒常的に攻撃の標的となり、企業 IT 部門に多大な運用上の負担を強いている。
・ベンダーは脆弱性発見のたびに緊急のファームウェアアップデートを公開
・IT 管理者は、業務影響を最小限に抑えつつ、迅速にパッチを適用する必要に迫られる
・パッチ適用の遅れが、即座にセキュリティインシデントに繋がるリスクをはらむ
② ソフトウェアライブラリの複雑性
SSL-VPN は、ウェブブラウザで広く利用される SSL/TLS プロトコルをベースとしており、このプロトコルスタックの複雑性が問題となっている。
・ソフトウェアの設計、実装の際に、バグを誘発しやすい状況
・複数のライブラリとコンポーネントの相互作用により、予期せぬ脆弱性が発生
・コードの保守と監査が困難
③ 広すぎるアクセス権限
攻撃者が SSL-VPN を企業ネットワークへの最も重要な入口と認識し、脆弱性を悪用した計画的な攻撃が行われている。
・侵入に成功すると特権昇格や内部ネットワークでの横方向の移動(ラテラルムーブメント)を試みる
・従来の VPN ではこの攻撃への対処が困難
・ネットワーク全体が侵害されるリスクが高い
さらに、より標準化された安全性の高い方式へ移行するため、今後目指すべきセキュリティの指針として、 SSL‑VPN からネットワーク通信そのものを暗号化する IPsec-VPN への移行を推奨しています。
これは、次いで ZTNA のゼロトラストネットワーク、そしてクラウドネイティブな統合セキュリティである SASE といった段階的な移行を前提とし、企業に無理のない形で切り替えを促す狙いがあります。この流れは特定ベンダーに限らず、現在の IT 環境における一般的なセキュリティトレンドとも一致しており、多くの企業にとって避けて通れない変化と言えます。
■ 今後の対策
SSL‑VPN は最新 OS である Forti OS 7.6.3 以降利用ができなくなり、現在の環境においても技術サポートが 2027 年 5 月 11 日、全サポートが 2028 年 11 月 11 日に終了する見込みです。
これにあたり、企業が最初に取り組むべきは、自社で SSL‑VPN がどのように使われているかを把握することです。誰が、どの業務で、どのシステムへ接続しているかを整理しなければ、適切な代替策をとることができません。そしてそのうえで、 IPsec-VPN への移行といった代替手段への切り替えを進めていかなければなりません。
また、技術面だけでなく利用者への配慮も重要です。接続方法の変更は、在宅勤務や日常業務に直結するため、事前の周知や分かりやすい手順書の整備、十分な切り替え期間を確保し、混乱を防ぐ対応が必要です。
IBC では、こうした移行を支援するサービスをご用意しております。これからの対策にご不安がありましたら、お気軽にご相談ください。
これからのリモートアクセスに求められる考え方
最後に、 FortiGate の SSL‑VPN 廃止は、単なる機能終了ではなく、企業にとってリモートアクセスとセキュリティを見直す転換点です。これまで「社内につなぐ」ことを前提としてきた考え方から、「必要なものにだけ安全につなぐ」仕組みへ移行する流れは、今後さらに加速するでしょう。
この変化を単なる対応としてではなく、自社のセキュリティレベルを引き上げる機会と捉えることが、これからの企業に求められています。
