Zscalerのブログ

Zscalerの最新ブログ情報を受信

登録する
セキュリティリサーチ

2025年版 ThreatLabz VPNレポート:組織の81%が2026年までにゼロトラストに移行する理由

image
セキュリティ インサイト

コンテンツ

  1. ThreatLabz VPNレポート:組織の81%が2026年までにゼロトラストに移行する理由
  2. 1. VPNが抱えるさまざまなセキュリティ上の課題
  3. 2.エンドユーザーの不満が組織の意思決定を後押し
  4. 3. 81%の組織がゼロトラスト フレームワークに移行予定
  5. レポートを入手
  6. おすすめのブログ

VPNは長年、リモート アクセスの主要な手段として利用されてきましたが、ThreatLabzの新たな調査によると、VPNのセキュリティ リスクとパフォーマンスの課題により、組織の現状が急速に変化している可能性があることが明らかになりました。

2025年版 Zscaler ThreatLabz VPNリスク レポート:Cybersecurity Insidersによる新たな洞察は、600人以上のITやセキュリティの専門家から得た洞察を基に、VPNに起因するリスクの増加と運用上の課題について詳しくまとめています。この調査から、組織がVPNのセキュリティ リスク、パフォーマンスの課題、そして運用の複雑さに苦慮している状況が浮き彫りとなっています。注目すべき傾向の一つとして、組織が一斉にゼロトラスト ソリューションへの移行を急速に進めている点が挙げられます。全体として、65%の組織が年内にVPNサービスから移行する予定で、この割合は昨年の調査結果から23%増加しています。一方、96%の組織がゼロトラスト アプローチを支持しており、81%が今後12か月以内にゼロトラスト戦略を導入する予定です。

これらの変化はすべて、AIによって高度化した脅威環境の中で起こっています。VPNはインターネットに接続されているため、攻撃者がAIを悪用してVPNの脆弱性を自動的に特定するのが比較的容易になっています。例えば、攻撃者はAIチャットボットを使って一般的なVPN製品の既知の脆弱性情報を取得し、それを基にインターネット上で脆弱性をスキャンし、悪用することができます。これを裏付けるように、最近、主要なセキュリティ ベンダーがホストする数万件のパブリックVPN IPアドレスを狙ったスキャン活動が急激に増加していることが確認されています。この事実は、VPNの問題の本質を浮き彫りにしています。つまり、システムにアクセスできるということは、侵害もできるということです。

このレポートでは、組織が抱える懸念や計画、そしてハイブリッド ワークを保護し、プライベート アプリケーションへの安全な接続を可能にするゼロトラスト戦略の導入という観点からこれらのリスクを分析しています。このブログでは、これらの重要な変化の背景にある3つの主な調査結果について解説します。詳細な洞察、分析、ベスト プラクティスについては、2025年版 Zscaler ThreatLabz VPNリスク レポートをダウンロードしてご確認ください。

1. VPNが抱えるさまざまなセキュリティ上の課題

かつてはセキュア リモート アクセスを実現するための柱として重宝された仮想プライベート ネットワーク(VPN)ですが、サイバー脅威が進化するにつれて、その役割は信頼できるツールから深刻なセキュリティ リスクへと変化しています。実際、VPNの脆弱性は格好の標的となっており、昨年、VPNの脆弱性に起因するサイバー攻撃を受けた組織は56%にも上り、前年から大幅に増加しました。

VPNの脆弱性は深刻な問題となっています。VPNはインターネットに接続されたデバイスであるため、攻撃者はパッチが公開される前や適用される前に、影響を受けるVPNインフラを簡単に特定してそれを悪用できます。最近では、CISAが勧告を出し、影響を受ける組織に対してCVE-2025-22457のセキュリティ更新プログラムを速やかに適用するよう求めました。この脆弱性はすでに攻撃に悪用されており、認証されていない攻撃者によるリモート コード実行(RCE)を許してしまうおそれがあります。

これらのセキュリティ ギャップは、ランサムウェア キャンペーン、認証情報の窃取、サイバー スパイ キャンペーンの主な侵入口となっており、ネットワーク全体に広範な被害を与える可能性があります。実際、92%もの回答者がパッチ適用されていないVPNの欠陥がランサムウェア インシデントに直接つながる可能性を懸念しており、VPNを適切なタイミングで継続的に修正することの難しさが浮き彫りになっています。一方、回答者の93%がサードパーティーによるVPN接続がもたらすバックドアの脆弱性に懸念を抱いています。これは、攻撃者がサードパーティーの認証情報を悪用し、検出されることなくネットワークを侵害するケースが増えているためです。

2020~2025年にかけて増加したVPNのCVEの分析

VPNの脆弱性の増加を理解するために、ThreatLabzは、MITRE CVE Programのデータを基に2020年から2025年までのVPN関連の共通脆弱性識別子(CVE)も分析しました。一般的に、脆弱性の報告は非常に価値があります。脆弱性の迅速な開示とパッチ適用により、エコシステム全体でサイバー ハイジーンが向上し、コミュニティー全体の連携も促進されます。また、新たな攻撃ベクトルに対してもすばやく対応できるようになります。セキュリティ上の欠陥がまったくないソフトウェアは存在しないため、脆弱性そのものを完全に排除することは現実的ではありません。

 

Image

 

図1: 2020年から2024年までにVPNの脆弱性が引き起こした攻撃の種類(RCE、権限昇格、DoS、機密情報漏洩、認証バイパス)

CVEが発見された経緯やそこに含まれる情報は、サイバー脅威が時間とともにどのように進化しているかを反映しています。ThreatLabzは、COVID-19後のハイブリッド ワークへの移行に伴い、VPNの利用が拡大したことが一因となり、VPNの脆弱性が徐々に増加しているだけでなく、そのほとんどが非常に重大であることを確認しました。

調査期間中、VPN関連のCVEは82.5%もの増加を記録しました(注:2025年初頭のデータはこの分析から除外)。過去1年間においては、これらの脆弱性の約60%がCVSS (共通脆弱性評価システム)で「重要(High)」または「緊急(Critical)」に分類されており、企業にとって深刻なリスクとなっています。また、ThreatLabzの調査で、リモート コード実行(RCE)の脆弱性が最も多く報告されていたことが明らかになりました。これらの脆弱性により、攻撃者が標的のシステム上で任意のコードを実行できるようになるため、特に危険です。このように、VPNの脆弱性の大部分は決して軽視できるものではなく、実際に攻撃者に悪用されるケースが後を絶ちません。

進化する攻撃技術への対応に迫られる中、多くの組織が代替策としてゼロトラスト アーキテクチャーを採用し始めています。このアプローチは、従来のVPNが抱えるセキュリティ上の欠陥を補う解決策として注目されています。暗黙の信頼と広範なネットワーク アクセスに頼るVPNとは異なり、ゼロトラスト フレームワークは、アイデンティティーベースのきめ細かなアクセス ポリシーを施行します。これにより、ネットワーク内での攻撃者の動きを直接軽減し、攻撃者によって簡単にスキャンされ悪用される可能性のある、インターネットやネットワークに接続された資産のリスクを排除します。

2.エンドユーザーの不満が組織の意思決定を後押し

VPNの使いにくさは、セキュリティ面だけでなくユーザーの不満も引き起こす大きな要因です。接続の遅さ、頻繁な切断、複雑な認証プロセスは、長年にわたってVPNユーザーを悩ませてきました。調査でも、これらがエンドユーザーにとって最大の課題として挙げられています。これらの不満はIT戦略にも影響を与えているため、多くの組織がパフォーマンスを犠牲にしない安全なアクセスを実現する手段としてゼロトラストの導入を検討しています。

ゼロトラスト モデルでは、従来のネットワーク中心の仕組みが排除され、必要なアプリケーションのみへの直接接続が可能になるため、従業員は必要なツールに迅速かつシームレスにアクセスでき、IT部門はセキュリティ態勢の検証とポリシーの施行をリアルタイムで行うことができます。エンドユーザーとIT部門の双方がゼロトラストの利便性に満足していることから、このアプローチは次世代の安全なアクセス技術として定着しつつあります。

3. 81%の組織がゼロトラスト フレームワークに移行予定

これらの傾向を受け、サイバーセキュリティ戦略が大きく変わり始めています。ゼロトラストはもはや抽象的な概念ではなく、欠かせない基盤となっています。81%の組織が今後1年以内にゼロトラスト フレームワークを導入する予定であるなど、現代の組織のリモート アクセス要件を満たせない従来のVPNシステムからの方向転換が進んでいます。この流れは、ゼロトラストを理論的な理想から、VPNに代わる現実的な解決策として受け入れる段階への重要な転換点を意味しています。

なぜゼロトラストが支持されているのでしょうか?暗黙の信頼に基づいて広範なネットワーク アクセスを許可するVPNとは異なり、ゼロトラストは「決して信頼せず、常に検証する」という原則に基づいて機能し、プライベート アプリケーションへのきめ細かなアクセス制御、堅牢なアイデンティティー検証、継続的な監視を行うことで、分散した従業員とハイブリッドIT環境を保護します。VPNからゼロトラストに移行した組織の76%が、セキュリティとコンプライアンスの向上を最大のメリットとして挙げているように、暗黙的なネットワーク アクセスをゼロトラストにリプレースすれば、ランサムウェア、認証情報の窃取、ラテラル ムーブメントのリスクを軽減できます。さらにスケーラビリティー、コンプライアンス、運用の簡素化といった面でのメリットも加わるため、ゼロトラストがVPNの代替として急速に普及している理由は明らかです。

レポートを入手

2025年版 ThreatLabz VPNリスク レポートは、VPNやリモート アクセスに関する貴重な洞察を提供します。レポートをダウンロードして、以下の重要なポイントをご確認ください。

  • VPNが抱えるセキュリティおよび運用上の課題
  • ハイブリッド ワーク環境を保護するための重要なベスト プラクティス
  • ゼロトラストへの移行に関する業界の知見
  • 2025年以降のVPNに関する予測
form submtited
お読みいただきありがとうございました

このブログは役に立ちましたか?

vote yes
はい
vote no
いいえ

免責事項:このブログは、Zscalerが情報提供のみを目的として作成したものであり、「現状のまま」提供されています。記載された内容の正確性、完全性、信頼性については一切保証されません。Zscalerは、ブログ内の情報の誤りや欠如、またはその情報に基づいて行われるいかなる行為に関して一切の責任を負いません。また、ブログ内でリンクされているサードパーティーのWebサイトおよびリソースは、利便性のみを目的として提供されており、その内容や運用についても一切の責任を負いません。すべての内容は予告なく変更される場合があります。このブログにアクセスすることで、これらの条件に同意し、情報の確認および使用は自己責任で行うことを理解したものとみなされます。

おすすめのブログ

双眼鏡とコードを示す暗い画像

ThreatLabzレポート:脅威の87.2%が暗号化チャネルで配信

投稿を読む
デジタル スクリーンに触れる照らされた女性

組織におけるAI利用の最新動向:2025年版 ThreatLabz AIセキュリティ レポートの主な調査結果

投稿を読む
接続されたデジタル デバイスの画面を見る建設作業員

ThreatLabz最新レポート:モバイルは依然として主要な脅威ベクトル - スパイウェアは111%、IoT攻撃は45%増

投稿を読む

Zscalerの最新ブログ情報を受信

このフォームを送信することで、Zscalerのプライバシー ポリシーに同意したものとみなされます。