2025年版 Zscaler ThreatLabz VPNリスク レポートを発表、半数以上の組織がセキュリティとコンプライアンスのリスクをVPNの最重要課題と認識

※本資料は、米カリフォルニア州にて2025年4月10日(現地時間)に発表したプレスリリースの日本語抄訳版です。

● 92%の組織がVPNの脆弱性に起因するランサムウェア攻撃を懸念

● 93%の組織が外部からのVPN接続がバックドアとして悪用されることを懸念

● 81%の組織が今後1年以内にゼロトラストを導入予定

クラウド セキュリティ業界を牽引するZscaler, Inc. (NASDAQ: ZS、以下ゼットスケーラー)は本日、Cybersecurity Insidersと共同で作成した2025年版 Zscaler ThreatLabz VPNリスク レポートを発表しました。本レポートでは、VPNサービスがもたらすセキュリティリスクやユーザーエクスペリエンスの問題、そして運用面での課題を詳しく分析しています。600人以上のITおよびセキュリティ専門家を対象とした調査結果によると、VPNを利用する組織の最大の課題はセキュリティとコンプライアンスの維持であり、回答者の56%がこの問題を指摘しています。サプライチェーン攻撃やランサムウェアのリスクは最優先事項とされており、全体の92%がVPNの脆弱性からランサムウェア攻撃が発生する可能性を懸念しています。こうしたリスクの複合的な影響により、VPNに対する企業の考え方が大きく変化しつつあります。現在、65%の組織が今後1年以内にVPNからの移行を予定しており、さらに81%の組織がゼロトラスト戦略の導入を計画しています。

かつてはリモート アクセスの柱として重宝されたVPNですが、過剰な権限付与や脆弱性、拡大し続ける攻撃対象領域により、今では企業ネットワークの深刻なリスク要因となり、IT資産や機密データを危険にさらしています。VPNはその設計上、物理環境でも仮想環境でも、リモートユーザーだけでなく攻撃者にもネットワークへのアクセスを許可してしまうため、ゼロトラスト モデルとは根本的に異なります。さらに、VPNは接続速度の遅さや頻発する障害、複雑な保守作業が原因となり、IT部門や従業員に大きな負担を与え、生産性や業務効率を著しく低下させています。本レポートは、業界の専門家からの信頼性の高い知見を基に、これらの課題を掘り下げるとともに、現代のハイブリッドワーク環境で安全なアクセスを確保するための実践的なガイドラインを提供する目的で作成されました。

セキュリティと使いやすさに関する懸念

回答者の54％がVPNに関連する最大の課題としてセキュリティとコンプライアンスのリスクを挙げており、VPNでは高度化するサイバー脅威に十分対抗できないという懸念が高まっています。現在、多くのサイバー犯罪者がGPTベースのAIを悪用してVPNの脆弱性を特定しており、例えば、企業が使用しているVPN製品の最新の共通脆弱性識別子(CVE)を返すように生成AIチャットボットに指示するだけで簡単に偵察活動を行うことができます。そのため、これまで数週間から数か月かかっていた作業が、今ではわずか数分で完了できるようになっています。

最近では、外国のサイバー諜報グループが既知のVPNの脆弱性を悪用し、企業ネットワークに不正にアクセスするというインシデントが発生しました。この数か月だけでも同様の事例が複数報告されており、VPNの脆弱性がサイバー攻撃の主要な標的であることが改めて証明されました。これと同時に、従来のセキュリティ モデルからゼロトラスト アーキテクチャーへの移行が急務であることも浮き彫りになりました。実際、92%の回答者が未修正のVPNの脆弱性を狙ったランサムウェア攻撃を懸念しています。

ゼットスケーラーのCSOであるディーペン・デサイ(Deepen Desai)は、次のように述べています。「攻撃者は今後さらにAIを悪用して偵察を自動化し、巧妙なパスワード スプレー攻撃や迅速なエクスプロイト開発を行い、VPNを大規模に侵害するようになります。こうしたリスクに対処するには、あらゆる領域にゼロトラストを適用する セキュリティ アプローチを導入する必要があります。このアプローチにより、物理VPNや仮想VPNなどのインターネットに接続された資産が排除されるため、攻撃対象領域と侵害の影響範囲を大幅に削減できます。81%の組織が今後1年以内にゼロトラストを導入予定であるという事実は、この流れをさらに後押しする心強い動きです。これは、VPNのようなレガシー技術がもたらすセキュリティ リスクを軽減するための重要な一歩です」

簡単に特定できる深刻なVPNの脆弱性が増加

ThreatLabzは、攻撃者がインターネットに接続されたVPNインフラの脆弱性をどのように悪用しているかを調査するため、MITRE CVE Programのデータを基に2020年から2025年に報告および公開されたVPN関連のCVEを分析しました。一般的に、脆弱性の報告は非常に価値があります。脆弱性の迅速な開示とパッチ適用により、エコシステム全体でサイバー ハイジーンが向上し、コミュニティー全体の連携も促進されます。また、新たな攻撃ベクトルに対してもすばやく対応できるようになります。セキュリティ上の欠陥がまったくないソフトウェアは存在しないため、脆弱性そのものを完全に排除することは現実的ではありません。

調査期間中、VPN関連のCVEは82.5%もの増加を記録しました(注：2025年初頭のデータはこの分析から除外)。過去1年間においては、これらの脆弱性の約60%がCVSS (共通脆弱性評価システム)で「重要(High)」または「緊急(Critical)」に分類されており、企業にとって深刻なリスクとなっています。また、ThreatLabzの調査で、リモート コード実行(RCE)の脆弱性が最も多く報告されていたことが明らかになりました。これらの脆弱性により、攻撃者が標的のシステム上で任意のコードを実行できるようになるため、特に危険です。このように、VPNの脆弱性の大部分は決して軽視できるものではなく、実際に攻撃者に悪用されるケースが後を絶ちません。

招かれざる侵入者

VPNは認証後に広範なアクセスを提供し、ユーザー アクセスを請負業者、外部パートナー、ベンダーにまで拡張します。理論上は優れた接続ツールですが、攻撃者は脆弱なパスワードや盗まれた認証情報、設定ミス、パッチ未適用の脆弱性を悪用してこれらの信頼された接続を侵害します。調査対象となった93%が外部からのアクセスに起因するバックドアの脆弱性を懸念しています。2024年2月には、ある金融サービス企業においてVPNの脆弱性を原因とするデータ漏洩事件が発生し、約2万件の顧客の個人情報が流出しました。この事例は、VPNが企業ネットワークを攻撃するための侵入経路となりうることを浮き彫りにしています。

VPNからゼロトラストに移行し、あらゆる領域を保護

従来のVPNベンダーは、クラウド上に展開された仮想マシンを「ゼロトラスト ソリューション」として提供することで、変化する環境に適応しようとしています。しかし、VPNがクラウドでホストされている場合でも、その設計の本質は従来のVPNと変わらず、真のゼロトラスト原則には準拠していません。これを裏付けるように、最近、主要なセキュリティ ベンダーがホストする数万件のパブリックVPN IPアドレスを狙ったスキャン活動が急激に増加していることが確認されています。このようなスキャン活動は、攻撃者が未公開の脆弱性を悪用しようとしている兆候である場合が多いことが過去のケースからもわかっています。システムにアクセスできるということは、侵害もできるということです。クラウドベースのVPNは従来の設計から根本的に脱却していない限り、いかに効果的に宣伝されていても、真のゼロトラスト原則を達成することはできません。

包括的なゼロトラスト アーキテクチャーは、従来のセキュリティ ツールに比べて強力なセキュリティと優れた運用効率を提供するため、多くの組織が急速に導入を進めています。調査では、81%の組織が今後1年以内にゼロトラスト アーキテクチャーの導入を予定していることが明らかになっています。ゼロトラストの原則をユーザー、アプリケーション、ワークロードにまで適用することで、従来のVPNが不要となり、以下のメリットを備えたより回復力の高い最新のセキュリティ アプローチを確立できます。

1. 攻撃対象領域の最小化：ネットワークベースのアクセスからゼロトラスト ポリシーとアイデンティティーベースの制御に移行し、ユーザーやサードパーティーを保護します。

2. 脅威のブロック：堅牢な認証、アイデンティティー セキュリティ、最小特権のゼロトラスト アクセスで初期侵入を防止します。

3. 水平方向の移動の防止：ゼロトラスト セグメンテーションを使用して脅威を封じ込め、ネットワーク内での不正な拡散を阻止します。

4. データ セキュリティの強化：コンテキスト対応型の統合されたゼロトラスト ポリシーを施行し、機密情報を保護します。

5. 運用の簡素化：VPNをAI活用型のセキュリティ、継続的な監視、ポリシーの自動施行に置き換えることで、中断のないアクセスを提供しながら、事業継続性を維持します。

これらのベストプラクティスを採用することで、組織は堅牢なゼロトラスト フレームワークを構築し、VPNに関連するセキュリティ リスクを排除できます。また、継続的な検証、最小特権アクセス、予防的な脅威軽減も可能になります。

2025年版 Zscaler ThreatLabz VPNリスク レポートを入手

従来のVPNが抱えるセキュリティの課題やゼロトラストの重要性を詳しく解説した2025年版 Zscaler ThreatLabz VPNリスク レポートの全文は、こちらからダウンロードできます。

調査方法

本レポートは、VPNのセキュリティ リスク、組織のアクセスの傾向、ゼロトラスト アーキテクチャーの導入状況を特定するために、Cybersecurity InsidersがITおよびサイバーセキュリティの専門家632人を対象に行った調査の結果を基に作成されました。回答者には、さまざまな業界の経営幹部、ITセキュリティ担当者、ネットワーク インフラのリーダーが含まれます。本レポートの調査結果は、VPNの利用の減少とゼロトラストへの移行に関するデータに基づく洞察を提供し、アクセス セキュリティ戦略の近代化を目指す組織に重要な視点を提案します。

ThreatLabzについて

ThreatLabzは、ゼットスケーラーが誇る世界トップクラスのセキュリティ調査部門であり、ゼットスケーラーのプラットフォームを使用する世界中の組織が常に保護された状態にあることを保証する責任を担います。ThreatLabzのメンバーは、マルウェアの調査や振る舞い分析に加え、ゼットスケーラーのプラットフォームの高度な脅威対策を実現するための新しいプロトタイプ モジュールの研究開発も進めています。また、定期的に社内のセキュリティ監査を実施して、ゼットスケーラーの製品とインフラがセキュリティ コンプライアンス基準を満たしていることを確認します。ThreatLabzは、新たな脅威に関する詳細な分析を定期的にポータル(research.zscaler.com)で公開しています。

ゼットスケーラーについて

ゼットスケーラー(NASDAQ: ZS)は、より効率的で、俊敏性や回復性に優れたセキュアなデジタル トランスフォーメーションを加速しています。Zscaler Zero Trust Exchange™プラットフォームは、ユーザー、デバイス、アプリケーションをどこからでも安全に接続させることで、数多くのお客様をサイバー攻撃や情報漏洩から保護しています。世界150拠点以上のデータ センターに分散されたSASEベースのZero Trust Exchange™は、世界最大のインライン型クラウド セキュリティ プラットフォームです。