業界レポート

2025年版 Zscaler ThreatLabz VPNリスク レポート:Cybersecurity Insidersによる新たな知見

これまで以上に多くの組織がVPNからゼロトラストに移行している理由をご確認ください。

結論:もはや安全なアクセスの基盤ではないVPN

仮想プライベート ネットワーク(VPN)は20年以上にわたり、リモート接続の標準でした。しかし、組織がハイブリッド ワークやクラウドファーストの運用に移行するなかで、VPNの弱点は無視できないものとなっています。私たちの調査では、わずか1年で半数以上の組織がVPNの脆弱性に直接関連する攻撃を受けたことが判明しました。

攻撃者は、ゼロデイ脆弱性、盗まれた資格情報、AIによる偵察をますます駆使することで、これらの古いアクセス ソリューションを悪用し、ネットワークに侵入するようになっています。現在、大多数の組織が2026年までにゼロトラスト戦略の導入を予定していることも不思議ではありません。

あらゆる面でリスクを加速させるVPN

本レポートにおいてITとサイバーセキュリティの専門家632名を対象に世界規模で調査を実施した結果、次の4つの明確な傾向が明らかになりました。

  1. VPNの旧式化が加速している。65%もの組織が1年以内にVPNを廃止する予定であり、これは昨年のレポートより23%増加しています。
  2. VPNの悪用が拡大している。今年は56%の組織がVPN関連の侵害を受け、92%がVPNによってランサムウェアの危険にさらされることを懸念しています。
  3. VPNに対する不満は限界に達している。51%の組織はVPNによってユーザー エクスペリエンスが低下すると回答し、37%はコストの高さに不満を訴えています。
  4. ゼロトラストは急速にVPNに取って代わりつつある。ほぼすべての組織(96%)はゼロトラスト戦略をすでに導入している/予定している、またはゼロトラスト戦略を支持しています。

攻撃の発生率を高めて影響範囲を拡大させるVPN

ランサムウェア グループは、VPNは簡単に利益を得られる手段であると理解しています。そのため、VPNは格好の標的となっています。パッチが適用されていないデバイスや暗黙の信頼モデルにより、攻撃者はランサムウェアやその他のマルウェアを迅速に展開したり、妨げられることなくラテラル ムーブメントを実行したりできるのです。

ランサムウェア攻撃に利用されるVPNの脆弱性
92%は未修正の脆弱性が原因でランサムウェアの標的になることを懸念している

この状況に応じるため、従来のVPNベンダーの一部は、クラウド型の仮想マシンを「ゼロトラスト ソリューション」と名前を変えて提供しています。しかしクラウドでホストされるVPNは、アーキテクチャーの観点から依然としてインターネット接続サービスであり、攻撃者が見つけて侵害できるパブリックIPアドレスを持っています。

サイバー脅威に利用されるVPNのリスク
89%は攻撃者によるネットワークのラテラル ムーブメントを懸念している

今回は71%の回答者がラテラル ムーブメントを最大の懸念として挙げています。VPNの暗黙の信頼モデルでは、1人のユーザーが侵害されるだけで事実上環境全体に侵入されるためです。攻撃者は広範なネットワーク アクセスを悪用して権限を昇格させ、検出される前に機密データを窃取できます。

ダウンタイムや疲弊といった隠れたコストを伴うVPN

従来のVPNは大量のリソースを消費し、すでにリソースが不足しているIT部門の運用に負担をかけます。非常に高額な維持費と不十分な保護により、VPNモデルが持続不可能であることはますます明らかになっています。

隠れたコストを伴うVPN
VPNの運用における最大の懸念は、セキュリティ インシデントにつながるギャップの保護


さらに、VPNはIT部門だけでなく他の部門にとっても負担となっています。ユーザーはパフォーマンスの低下、ログインの問題、重要なリソースにアクセスできないといったさまざまなVPNの問題に対する不満を訴えています。これらの問題によって生産性が低下し、ヘルプ デスクのチケットが増加します。

生産性に悪影響を与えるVPN関連の問題が多く報告されている
生産性に悪影響を与えるVPN関連の問題が多く報告されている

ゼロトラストへの移行は決定的な潮流

ほとんどの組織は、VPNがセキュリティとアクセスのニーズに対応できなくなっていることを認識しています。脆弱性の増大、ユーザー エクスペリエンスの低下、保守要件を理由に、組織はこれまでにない速さでVPNから離れ、ゼロトラスト ネットワーク アクセス(ZTNA)のような最新の安全なアクセス ソリューションに移行しています。

ゼロトラストによるVPNの代替ソリューション
65%の組織は12か月以内に既存のVPNサービスからの移行を予定している

従来のVPNアーキテクチャーの弱点を補うために、圧倒的多数(96%)の組織が近い将来のゼロトラスト戦略を検討中、または積極的に推進中です。

従来のVPNからゼロトラスト戦略への移行
96%の組織はゼロトラスト戦略をすでに導入している/予定している、またはゼロトラスト戦略を支持している

ゼロトラストとVPNの比較論争に終止符

VPNはかつてリモート アクセスの象徴でしたが、現在ではリスクの象徴となっています。従来の境界は崩壊し、パッチ未適用のCVEチェーンからサードパーティーのバックドアまであらゆるギャップが悪用されています。

今回の調査で明らかになったことがあります。それは、現代の高度な脅威に対して回復力を維持するために、企業はVPNからゼロトラスト アーキテクチャーに移行する必要があるということです。

2025年版 Zscaler ThreatLabz VPNリスク レポートをダウンロードして、幅広い知見、傾向、分析をご確認ください。レポートには次の内容が含まれます。

  • リモート コード実行や認証バイパスなど、最も深刻なVPNの悪用
  • 今年注目を集めたVPN関連の侵害の原因
  • 脆弱性の継承やサプライヤーVPNのバックドアなど、M&Aやサードパーティーのアクセスにおけるビジネス リスク
  • VPNからの移行後にヘルプ デスクのチケットが97%減少したManPower Groupのような実例
  • Zscalererの専任の脅威調査チームによる、2025年以降のVPNリスクに関する7つの予測
  • 組織が今すぐ実践できる、重大なVPNリスクを排除するためのベスト プラクティス