★☆★JNSAメールマガジン 第314号 2025.6.13☆★☆
2025/06/13 (Fri) 15:30
★☆★JNSAメールマガジン 第314号 2025.6.13☆★☆
こんにちは
JNSAメールマガジン 第314号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンはNRIセキュアテクノロジーズ株式会社
中土井 洋平太様にご寄稿いただきました。
【連載リレーコラム】
VPNは継続利用が多数派、それでも一部で進む見直し:
情報セキュリティ実態調査に見る企業対応
NRIセキュアテクノロジーズ株式会社 GRCプラットフォーム部 中土井 洋平太
VPNを初期侵入経路とするサイバー攻撃被害が相次いで報告されている。
2024年春には複数の金融機関などの委託業務を担う企業がランサムウェア攻撃を
受け、複数の委託元に関わる情報が漏洩する重大なインシデントが発生した。
また、ネットワーク運用を外部委託していた企業では、委託先のVPN装置が攻撃対象
となり、本社ネットワークへの侵入と情報流出を許す事象に発展している。
いずれもVPNが「足がかり」となって組織の内側に入り込まれ、結果として重大な
被害につながった点が共通しており、日本企業の一部ではVPNの使用そのものを
見直す動きも見られる。
では、実際の企業動向はどうか。NRIセキュアテクノロジーズが2024年に実施した、
「企業における情報セキュリティ実態調査 2024 (※1)」によれば、日本企業の
78.5%が今後もVPNを継続利用すると回答しており、VPNの廃止を予定している企業は
6.8%にとどまった。すでに利用をやめた企業も含めても1割未満にすぎず、VPNは
依然として主要なリモートアクセス手段として定着している。
VPNの使用を停止する理由として最も多く挙げられたのは、「ゼロトラスト導入に
よる脱VPN」で、回答対象企業の62.2%が回答した。次いで多かったのが「他社に
おけるVPN経由の侵害事例」(27.3%)であり、現実のリスク事象が企業判断に影響
を与えていることがわかる。VPN装置の脆弱性が狙われるケースが相次いだことで、
境界防御モデルからの脱却や、アクセス経路の再設計を志向する動きが一部で進み
つつある。
ゼロトラストへの移行が進む企業が一定数存在する一方、その過程が平坦では
ないこともまた明らかになっている。ゼロトラスト推進を「検討している」と回答した
企業(367社)では、「ツールやソリューションの選定が難しい」(52%)、
「ゼロトラストの導入戦略が定まっていない」(47.4%)、「予算の確保が困難」
(36.2%)など、複数の実務的な課題が挙げられている。こうした障壁の存在が、
現時点でVPN継続を選択する企業の多さにもつながっているとみられる。
比較的投資体力のある大企業では、こうした導入上の課題を乗り越えやすい環境が
整っており、脱VPNを実際に進めている企業が一定割合存在する。実際、従業員
1万人以上の企業に限ると、「VPNの使用を停止予定」とする企業の割合は17.8%と
全体平均(6.8%)を大きく上回っており、VPN使用の見直しがより進んでいることが
うかがえる。
また、同じく従業員1万人以上の企業のうち、ゼロトラストを全面または一部実装
している企業は48.9%に達しており、こうした先行的な取り組みがVPN廃止の判断を
後押ししていると考えられる。
ゼロトラストを推進する企業は増えているものの、前述の通りVPNが今後も主要な
リモートアクセス手段として広く利用され続けることが予想される。そうした中で、
既存のVPN環境をどのように堅牢に維持するかは、多くの企業にとって重要な課題
となる。多要素認証(MFA)の導入、VPN機器の脆弱性管理と定期的なパッチ適用、
ログの監視と異常検知体制の整備など、基本的な対策を着実に実行することが、
VPN環境を維持するうえでの最低限の要件といえる(※2) 。しかし、VPN機器の
セキュリティ運用にかかる負荷の増大も一部企業では課題となっており、「VPN機器
のセキュリティ運用負荷の上昇」を理由にVPN使用停止を検討する企業が18.2%に
上るとの調査結果もある。こうした背景から、運用の複雑さを軽減する手段として、
VPN機器の高度な監視や脆弱性管理を専門事業者に委託するアウトソース活用も、
昨今における現実的な選択肢の一つとなっている。
今回の調査結果は、VPNをめぐる企業の選択が一律ではなく、各社の業務環境、
投資余力、リスク認識に応じた現実的な判断の積み重ねであることを示している。
ゼロトラスト実装が進む一方で、VPNの現実的な運用強化も引き続き求められる。
その両方を見据えた対応が、今後のセキュリティ基盤において鍵を握るだろう。
※1:https://www.nri-secure.co.jp/download/insight2024-report
※2:VPN機器への攻撃が増加|事例と対策をセキュリティアナリストが解説
(NRIセキュアブログ)https://www.nri-secure.co.jp/blog/vpn
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジンの感想をお寄せください。
https://tinyurl.com/3e4uwp7b
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★JNSA主催セミナー/イベントの動画・講演資料順次公開中!
JNSAホームページをご確認ください
https://www.jnsa.org/
【事務局からのお知らせ】
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に実際に足を運んで御相談下さい!!
★セキュリティにまつわる課題解決を支援!「JNSAソリューションガイド」
JNSAの会員企業が取り扱うネットワークセキュリティに関する製品やサービス、
イベント情報などをご紹介しています。是非お役立てください!
https://sg.jnsa.org/
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <https://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第314号
発信日:2025年6月13日
発 行:JNSA事務局 sec@jnsa.org
*************************************
こんにちは
JNSAメールマガジン 第314号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンはNRIセキュアテクノロジーズ株式会社
中土井 洋平太様にご寄稿いただきました。
【連載リレーコラム】
VPNは継続利用が多数派、それでも一部で進む見直し:
情報セキュリティ実態調査に見る企業対応
NRIセキュアテクノロジーズ株式会社 GRCプラットフォーム部 中土井 洋平太
VPNを初期侵入経路とするサイバー攻撃被害が相次いで報告されている。
2024年春には複数の金融機関などの委託業務を担う企業がランサムウェア攻撃を
受け、複数の委託元に関わる情報が漏洩する重大なインシデントが発生した。
また、ネットワーク運用を外部委託していた企業では、委託先のVPN装置が攻撃対象
となり、本社ネットワークへの侵入と情報流出を許す事象に発展している。
いずれもVPNが「足がかり」となって組織の内側に入り込まれ、結果として重大な
被害につながった点が共通しており、日本企業の一部ではVPNの使用そのものを
見直す動きも見られる。
では、実際の企業動向はどうか。NRIセキュアテクノロジーズが2024年に実施した、
「企業における情報セキュリティ実態調査 2024 (※1)」によれば、日本企業の
78.5%が今後もVPNを継続利用すると回答しており、VPNの廃止を予定している企業は
6.8%にとどまった。すでに利用をやめた企業も含めても1割未満にすぎず、VPNは
依然として主要なリモートアクセス手段として定着している。
VPNの使用を停止する理由として最も多く挙げられたのは、「ゼロトラスト導入に
よる脱VPN」で、回答対象企業の62.2%が回答した。次いで多かったのが「他社に
おけるVPN経由の侵害事例」(27.3%)であり、現実のリスク事象が企業判断に影響
を与えていることがわかる。VPN装置の脆弱性が狙われるケースが相次いだことで、
境界防御モデルからの脱却や、アクセス経路の再設計を志向する動きが一部で進み
つつある。
ゼロトラストへの移行が進む企業が一定数存在する一方、その過程が平坦では
ないこともまた明らかになっている。ゼロトラスト推進を「検討している」と回答した
企業(367社)では、「ツールやソリューションの選定が難しい」(52%)、
「ゼロトラストの導入戦略が定まっていない」(47.4%)、「予算の確保が困難」
(36.2%)など、複数の実務的な課題が挙げられている。こうした障壁の存在が、
現時点でVPN継続を選択する企業の多さにもつながっているとみられる。
比較的投資体力のある大企業では、こうした導入上の課題を乗り越えやすい環境が
整っており、脱VPNを実際に進めている企業が一定割合存在する。実際、従業員
1万人以上の企業に限ると、「VPNの使用を停止予定」とする企業の割合は17.8%と
全体平均(6.8%)を大きく上回っており、VPN使用の見直しがより進んでいることが
うかがえる。
また、同じく従業員1万人以上の企業のうち、ゼロトラストを全面または一部実装
している企業は48.9%に達しており、こうした先行的な取り組みがVPN廃止の判断を
後押ししていると考えられる。
ゼロトラストを推進する企業は増えているものの、前述の通りVPNが今後も主要な
リモートアクセス手段として広く利用され続けることが予想される。そうした中で、
既存のVPN環境をどのように堅牢に維持するかは、多くの企業にとって重要な課題
となる。多要素認証(MFA)の導入、VPN機器の脆弱性管理と定期的なパッチ適用、
ログの監視と異常検知体制の整備など、基本的な対策を着実に実行することが、
VPN環境を維持するうえでの最低限の要件といえる(※2) 。しかし、VPN機器の
セキュリティ運用にかかる負荷の増大も一部企業では課題となっており、「VPN機器
のセキュリティ運用負荷の上昇」を理由にVPN使用停止を検討する企業が18.2%に
上るとの調査結果もある。こうした背景から、運用の複雑さを軽減する手段として、
VPN機器の高度な監視や脆弱性管理を専門事業者に委託するアウトソース活用も、
昨今における現実的な選択肢の一つとなっている。
今回の調査結果は、VPNをめぐる企業の選択が一律ではなく、各社の業務環境、
投資余力、リスク認識に応じた現実的な判断の積み重ねであることを示している。
ゼロトラスト実装が進む一方で、VPNの現実的な運用強化も引き続き求められる。
その両方を見据えた対応が、今後のセキュリティ基盤において鍵を握るだろう。
※1:https://www.nri-secure.co.jp/download/insight2024-report
※2:VPN機器への攻撃が増加|事例と対策をセキュリティアナリストが解説
(NRIセキュアブログ)https://www.nri-secure.co.jp/blog/vpn
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジンの感想をお寄せください。
https://tinyurl.com/3e4uwp7b
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★JNSA主催セミナー/イベントの動画・講演資料順次公開中!
JNSAホームページをご確認ください
https://www.jnsa.org/
【事務局からのお知らせ】
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に実際に足を運んで御相談下さい!!
★セキュリティにまつわる課題解決を支援!「JNSAソリューションガイド」
JNSAの会員企業が取り扱うネットワークセキュリティに関する製品やサービス、
イベント情報などをご紹介しています。是非お役立てください!
https://sg.jnsa.org/
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <https://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第314号
発信日:2025年6月13日
発 行:JNSA事務局 sec@jnsa.org
*************************************