SSL VPNはなぜ否定されるのか――IPsecへの移行とゼロトラストへの道筋

VPN、特にSSL VPNはリモートアクセスの定番手段として長年使われてきました。しかし今、その前提が根本から問い直されています。
大手ネットワークセキュリティベンダーが自社製品のSSL VPNを廃止すると明言し、業界全体でリモートアクセスの設計を見直す流れが加速しています。

本記事では、SSL VPNがなぜ問題視されるのか、当面の対処としてのIPsecへの移行が持つ意味と限界、そしてVPNaaS・SASEへの移行について順を追って整理します。

SSL VPNは、WebブラウザのHTTPS通信と同じポート（TCP 443番）を使ってリモートアクセスを実現する仕組みです。もともとVPNにはIPsecという規格がありましたが、クライアント設定やポート開放など導入・運用に技術知識が必要で、NAT環境との相性がよくないなどの問題も抱えていました。

それに対してSSL VPNは「ブラウザだけでも使える」「ポート443はほぼどの環境でも開いている」というメリットがあることから2000年代後半から急速に普及し、モバイルワークの促進とともに拡大、そしてコロナ禍のリモートワーク拡大が更に流れを加速させました。しかしその裏で、さまざまな問題が浮き彫りになってきています。

SSL VPNは暗号化・認証・Webサーバなど多数の機能を実装します。機能が多いと言うことはそれだけセキュリティホールも生まれやすく、認証バイパスやリモートコード実行の脆弱性がランサムウェアの侵入口として繰り返し悪用されてきました。

長年VPNソリューションを提供しているFortinet社は、FortiOS 7.6.3以降でSSL VPNトンネルモードを完全廃止すると公式に発表しています（出典：Fortinet「SSL-VPN廃止のお知らせ」）。

廃止の理由として、脆弱性の頻発でパッチ対応が追いつかなくなったこと、NSAやCISAがIPsecを優先するよう推奨していることを挙げています。

当面の対処として各ベンダーが推奨するのがIPsec VPNへの移行です。IPsecはSSL VPNと比較して幅広く標準化されているため、ベンダーの独自実装によって脆弱性が生まれる余地は小さいと言えます。

ただしIPsecへの移行はあくまで応急処置です。

VPN装置の宿命として、常にネットワーク上に公開し続ける構造に変わりはありません。また設定が複雑なプロトコルであり、専任担当者が少ない中小企業にとって運用負担は軽くありません。そもそもSSL VPNが台頭した理由はIPsecの複雑さに対する反動でした。その課題が残ったままであれば、IPSecへの移行が思うように進まないことも十分考えられます。

VPNの構造問題も含めて対策を考える際に検討が進むのが、クラウドベースの製品への移行です。

クラウド上でVPN機能を提供するサービスです。ゲートウェイの管理・パッチ適用・冗長化をクラウド事業者が担うため、専任担当者がいなくても一定の品質を維持しやすく、既存VPNの延長として導入しやすい点が中小企業のメリットです。

ネットワーク機能とセキュリティ機能をクラウドで統合して提供します。ZTNAを中核に据え、「ユーザーとデバイスの状態を継続的に検証した上で必要なアプリケーションにのみアクセスを許可する」設計のため、VPNを突破されても被害が広がりにくい構造になります。

せっかくコストをかけるなら、境界防御の課題まで解決できる選択肢を視野に入れることが得策です。

また、ZTNAやSASEの効果を最大化するために、IDaaS（クラウド型のID・認証管理）との組み合わせもおすすめです。これらの製品はIDaaSと相性がよく、組み合わせることで、多要素認証やアクセス権の一元管理が実現し、「誰が・どのデバイスで」アクセスしているかを正確に把握することができます。

SSL VPNの廃止は特定ベンダーだけの話ではなく、業界全体のリモートアクセス設計の転換を象徴する動きともいえます。IPsecへの移行は短期的に有効な対策ではありますが、もともとIPsecの複雑さへの反動でSSL VPNが普及したことを踏まえると、あくまでIPsecの移行は応急処置ととらえ、長期的にはVPNaaS・SASEへの移行を見据えていくのがよいでしょう。

貴社の現状に合った移行方針についてご不明な点があれば、お気軽に当社までお問い合わせください。

本記事はサイバーセキュリティ対策に関する一般的な情報提供を目的としたものです。自社の規模・環境を考慮した上で、最適な製品をご選定ください。