「VPNではサイバー脅威に対抗できない」　では今後、採用すべき対策は？：セキュリティニュースアラート

　今回の調査の対象になったITおよびセキュリティの専門家632人のうち、56％がVPNの最大の課題としてセキュリティとコンプライアンスの維持を挙げた。92％がVPNの脆弱性を利用したランサムウェア攻撃を懸念しており、93％が外部からのVPN接続がバックドアとして悪用されるリスクを認識している。

　近年、パッチ未適用のVPNが攻撃の起点となる事例が相次いでいる。2024年2月にはある金融機関がVPNの脆弱性を突かれ、約2万件の顧客情報が流出する事件が発生した。こうした中、65％の組織が今後1年以内にVPNからの移行を検討しており、81％がゼロトラストアーキテクチャーの導入を計画している。

　Zscalerのセキュリティ調査部門であるThreatLabzは、2020〜2025年に公開されたVPN関連の脆弱性情報データベース（CVE）を分析した結果、VPNの脆弱性報告数が82.5％増加したと報告している。特にリモートコード実行（RCE）の脆弱性が多く報告されており、攻撃者が対象システムで不正なコードを実行するリスクが指摘された。

　AIの進化により、サイバー攻撃者が生成AIを活用してVPNの脆弱性を短時間で特定する手口も確認された。これにより従来より攻撃準備にかかる時間が短縮された。

　同レポートではVPNの代替としてゼロトラストアーキテクチャーの採用を推奨している。アクセスの最小化や脅威の遮断、水平方向の移動防止、データ保護、運用の簡素化といった5つのベストプラクティスを通じて、より堅牢なセキュリティ体制の構築が可能になるとしている。

　Zscalerは、従来のVPNではもはや現代の高度なサイバー脅威に対抗できないと強調し、真のゼロトラスト原則に基づいたアクセス管理こそが今後の標準になると提言する。