ランサムウェアの被害が止まりません。2025年も国内企業での被害事例が続き、その侵入経路として最も多いのがVPN機器の脆弱性です。警察庁の調査では、企業・組織へのランサムウェア感染経路の半数以上がVPN機器からの侵入であることが報告されています。

実態を見ると、自社が使用するVPN機器のバージョンを正確に把握できていない企業が約48.3%に上ります。脆弱性が発見された際に対応機器の特定に時間がかかる、または特定できない企業は63.3%にのぼります。「VPNを使っているから安全」という認識は、すでに通用しません。

本記事では、VPN機器を狙うランサムウェア攻撃の具体的な手口から、情シス担当者がすぐに着手できる対策、さらにVPN依存を減らすゼロトラスト的アプローチまでを実践的に解説します。従業員500名以上の組織でIT管理を担う情シス担当者の方に向けた内容です。

ランサムウェアとVPN脆弱性の現状

ランサムウェアは企業にとって最も深刻なサイバー脅威の一つであり、その主要な侵入口となっているのがVPN機器の脆弱性です。なぜVPNが狙われるのか、まず現状から把握してください。

なぜVPNがランサムウェアの主要侵入口になるのか

VPN機器はインターネットと社内ネットワークの境界に位置し、外部からの接続を常時受け付けています。攻撃者にとっては、インターネット越しに組織ネットワークへアクセスできる正面玄関に相当します。しかも多くの企業でVPN機器のファームウェアやソフトウェアの更新が後回しにされており、脆弱性が放置されたまま運用されています。

攻撃者はスキャンツールを使って脆弱性のあるVPN機器を自動的に探索します。既知の脆弱性が公表されると、パッチが適用されていない機器は数日以内に攻撃の標的になります。発見から攻撃までのスピードが年々上がっているため、脆弱性情報を見てから対応するという従来の運用では間に合わない状況が生まれています。

VPN脆弱性を悪用した2つの主要な手口

攻撃者が VPN 機器を侵入口として悪用するパターンは主に 2 つあります。

1つ目は脆弱性の直接悪用です。パッチが未適用のVPN機器には、認証をバイパスして内部ネットワークに侵入できる脆弱性が存在するケースがあります。公表済みの脆弱性に対するパッチ未適用が最大のリスクです。2つ目は認証情報の悪用です。フィッシングや過去の情報漏洩などで入手したVPNのIDとパスワードを使い、正規ユーザーとして侵入するパターンです。多要素認証が設定されていない場合、IDとパスワードだけで侵入できてしまいます。

いずれのケースも、VPN機器を経由して一度内部ネットワークに侵入されると、攻撃者は横断的な移動（ラテラルムーブメント）を行いながら、最終的にランサムウェアを展開します。

国内企業の被害実態と情シスの課題

IPA「情報セキュリティ10大脅威 2026」においても、ランサムウェアによる被害は引き続き上位に位置づけられています。国内でも医療機関・製造業・物流企業など業種を問わず被害事例が継続しており、中堅企業での被害も目立ちます。

情シス担当者が直面する課題として特に深刻なのは、VPN機器の管理体制の脆弱さです。機器のバージョンを正確に把握できていないため、ベンダーから脆弱性情報が公表されても自社への影響を即座に評価できません。リモートワーク普及に伴いVPN利用者が増加した結果、接続ログの監視・分析が追いつかないという実態もあります。

参考: ランサムウェアの主要な侵入口「VPN機器」のセキュリティ対策実態調査 - Visional

参考: なぜVPNが狙われるのか？ランサムウェア対策 - InfiniCore

VPN機器の脆弱性管理：情シスが今すぐ取り組む対策

VPN脆弱性への対策は、複雑な技術投資を必要とするものではありません。まず基本的な管理体制を整えることで、多くのリスクを低減できます。ここでは即座に着手できる3つの対策を具体的に説明します。

ファームウェア・ソフトウェアの更新管理

最も即時に実行できる脆弱性対策は、ファームウェアとソフトウェアの最新化です。まず自社で使用するVPN機器の製品名・バージョンを正確に把握し、台帳に記録してください。

次に、ベンダーの公式サイトやセキュリティ情報を定期的に確認し、脆弱性情報やパッチリリースを速やかに把握する仕組みを整えます。JPCERT/CCや各ベンダーのセキュリティアドバイザリーを購読することで、重要な脆弱性情報を見逃すリスクを減らせます。脆弱性情報の公表から攻撃が始まるまでの時間は年々短縮されており、パッチ適用を翌週・翌月以降に先送りする運用は危険です。

多要素認証の必須化

VPN接続への多要素認証導入は、認証情報の悪用による侵入を大幅に困難にします。IDとパスワードだけでVPNに接続できる状態は、フィッシングや情報漏洩で認証情報が流出した時点で即座に侵入リスクが発生します。

多要素認証を導入することで、仮に認証情報が漏洩していても、攻撃者は追加の認証要素を突破できないため侵入を防ぐことができます。スマートフォンアプリによる認証コード方式や、ハードウェアトークン方式が一般的です。管理職・IT管理者など特権アカウントへの適用を最優先とし、順次全ユーザーに展開してください。

VPN接続ログの監視と異常検知

VPN経由の不正アクセスは、接続ログに痕跡が残ります。以下のような不審なパターンを検知するログ監視体制を整備してください。

• 普段接続しない時間帯や曜日の接続
• 海外IPアドレスからの接続
• 短時間での複数回認証失敗
• 通常と異なるデバイスからの接続
• 一人のユーザーが短時間に複数拠点から接続するケース（物理的に不可能な移動）

SIEM（セキュリティ情報・イベント管理）ツールを活用すれば、これらの異常パターンをアラートで通知できます。ツール導入が難しい場合は、週次でログをレビューする運用を最低限として整備してください。

参考: VPNが抱える脆弱性とは？事例から対策まで解説 - エイチ・シー・ネットワークス

参考: ランサムウェアが狙うVPNの脆弱性。VPNの代替となり得るSASEという選択 - キヤノンITソリューションズ

ランサムウェア被害を最小化するためのセキュリティ対策

VPN対策だけではランサムウェアへの備えとして不十分です。侵入後の被害を最小化するための多層的な対策が必要であり、アクセス権管理・エンドポイント保護・インシデント対応の3点を組み合わせて取り組む必要があります。

アクセス権の最小化と特権管理

ランサムウェアが内部ネットワークで被害を拡大する主要な要因の一つが、過剰なアクセス権です。攻撃者はVPN経由で侵入後、管理者権限を持つアカウントを乗っ取ることでネットワーク全体への攻撃を展開します。

各ユーザーが業務に必要な最低限のリソースにのみアクセスできる状態を実現することが、被害の横展開を防ぐ基本対策です。特に管理者権限を持つアカウントの数を必要最小限に絞り、使用する際のログ取得と承認フローを整備してください。退職者・異動者のアカウントが放置されている場合、それが攻撃者の侵入口になります。

エンドポイント保護とバックアップ

ランサムウェアへの感染自体を完全に防ぐことは困難です。侵入されることを前提として、被害を最小化するための準備が必要です。

エンドポイントセキュリティツールを導入し、ファイルの異常な暗号化操作など、ランサムウェアの動作パターンを検知・遮断できる体制を整えます。バックアップは3つのコピーを作成し、2種類の異なるメディアに保存し、そのうち1つはオフサイトに置くという原則に従って取得します。バックアップデータ自体がランサムウェアに暗号化されないよう、オフラインまたはエアギャップ環境で保存することが不可欠です。定期的な復元テストを実施し、実際に復旧できることを確認してください。

インシデント対応体制の事前整備

ランサムウェア感染が発生した際の初動対応は、被害の拡大を左右します。事前に対応手順書を作成し、以下の対応を明文化してください。

具体的には、感染が疑われる端末のネットワーク遮断手順、経営層・法務部門・外部セキュリティ専門家への連絡ルート、警察・IPAへの届出プロセス、業務継続のための代替手段、データ復旧の優先順位と手順です。手順書を作成したら、年に1回程度の机上訓練を実施し、実際の有事に備えてください。

参考: いま、情シスが直面しているランサムウェアの脅威とその対策【2025年度版】 - ソフトクリエイト

参考: 【2025年最新】ランサムウェア対策12選とソリューション一覧 - Quest

VPN依存を減らすゼロトラスト的アプローチ

VPNは社内ネットワークへのトンネルを作る仕組みで、一度接続が確立されると内部ネットワーク全体へのアクセスを許してしまう設計上の限界があります。より根本的な解決策として、ゼロトラストの考え方に基づくアーキテクチャへの移行が世界的に加速しています。

ゼロトラストとVPNの根本的な違い

VPNは信頼できるネットワークと信頼できないネットワークを区別し、VPNで接続した後は社内と同じ扱いをする境界型セキュリティの代表です。しかしこのモデルは、一度内部に侵入された攻撃者に対してほとんど無力です。

ゼロトラストは誰も信頼しない・常に検証するという原則に基づき、ネットワークの内外を問わず、すべてのアクセスを継続的に認証・認可します。ユーザー・デバイス・アプリケーション単位でアクセス制御を行い、アクセスできる範囲を必要なリソースのみに限定するため、侵入された場合でも被害の横展開を防ぎやすくなります。

SASEとZTNAへの移行トレンド

2026年には大企業においてVPN時代が事実上終焉を迎えるとの観測が出ており、SASEやZTNAへの移行が加速しています。主要VPN製品においても仕様変更や技術サポート終了の動きが見られ、移行の機運が高まっています。

SASEはネットワークとセキュリティ機能をクラウド上で統合したアーキテクチャです。リモートアクセスはアプリケーション単位で制御するZTNAで実現し、VPNのように内部ネットワーク全体へのアクセスを許可しません。クラウド経由のアクセスに対しても一貫したポリシーを適用できるため、SaaS利用が中心の組織に適しています。

中堅企業がゼロトラスト移行で直面する現実

ゼロトラストへの移行は、一朝一夕には実現しません。中堅企業の情シス担当者が直面する課題は、予算・人員・既存システムとの互換性の3点です。

現実的なアプローチとして、まず VPN の脆弱性管理と多要素認証の徹底を即時対応として実施し、次に SaaS のアクセス管理と可視化の強化を 3〜6 ヶ月の目標で進め、そして ZTNA 製品の段階的導入を 6 ヶ月から 1 年かけて取り組む、という 3 段階のロードマップで進めることを推奨します。すべてを一度に切り替えるのではなく、リスクの高い領域から段階的に移行することが、中堅企業に適した現実解です。

参考: ランサムウェアが狙うVPNの脆弱性。VPNの代替となり得るSASEという選択 - キヤノンITソリューションズ

参考: 大企業で「VPN時代が事実上、終焉」する2026年 - @IT

参考: 数字で読み解く2025年のランサムウェア脅威と2026年への備え - NTTインテグレーション

SaaS可視化・アクセス管理でVPN依存を減らす

ゼロトラストへの完全移行には時間がかかります。しかし今すぐ実施できるゼロトラスト的なアプローチとして、SaaS利用の可視化とアクセス管理の強化が有効です。VPN依存を段階的に減らすための実践的な第一歩として取り組める内容です。

シャドーITの排除とSaaS一元管理

VPNを経由して社内システムにアクセスする必要がある場面を減らすためには、業務で使うアプリケーションをSaaS化し、認証済みのユーザーが直接インターネット経由でアクセスできる環境を整えることが有効です。前提として、どのSaaSがどの従業員に使われているかを把握できていなければなりません。

部門担当者が独自に契約したSaaSは情シスの管理外でアクセス権が設定されており、セキュリティ上の盲点を生み出します。こうした未承認のSaaSを通じた情報漏洩や、脆弱なSaaSを経由した侵入リスクは、VPN脆弱性と同様に深刻な問題です。組織全体のSaaS利用状況を可視化し、未承認サービスへの対処を進めることが、アクセス管理強化の土台となります。

シャドーITとはシャドーIT 対策

アクセス権の棚卸しと即時オフボーディング

ゼロトラストの基本原則である「必要なユーザーが必要なリソースにのみアクセスできる」状態を実現するには、SaaSを含む全サービスへのアクセス権を定期的に棚卸しし、過剰な権限を削除し続けることが必要です。

退職者・異動者のアカウントが放置されている場合、それは攻撃者にとって利用価値の高い侵入口になります。HRシステムと連携し、退職・異動の処理と同時に関連するSaaSアカウントを自動的に無効化する仕組みを整備することで、このリスクを根本から低減できます。

ジョーシスのプラットフォームでは、60種類以上のSaaSの利用状況とアクセス権を一元的に可視化し、HRシステムと連携した自動オフボーディングを実現します。退職者のアカウントが数週間から数ヶ月放置されていた状態から、HR処理と同タイミングで全SaaSのアクセスが自動的に無効化される状態に変わります。

オフボーディング IT 自動化

SaaS可視化によるネットワークトラフィックの最適化

どのSaaSをどの従業員が使っているかを把握することで、VPN経由で通す必要があるトラフィックと、直接インターネット経由でアクセスさせるべきトラフィックの仕分けが可能になります。SaaSへのアクセスをVPN経由にする必要はなく、適切な認証と制御のもとでインターネット直接接続にすることでVPNの負荷を減らし、パフォーマンスと安全性を両立できます。

ジョーシスのプラットフォームを導入することで、従業員がどのSaaSにアクセスしているかをリアルタイムで把握し、部門ごとのSaaS利用状況を管理できます。どのSaaSがどの部門で使われているかすら不明だった状態から、組織全体のSaaS利用を一元的に把握できる状態への移行を支援します。

SaaS管理とはSaaSセキュリティとは

参考: 【2026年版】中小企業のランサムウェア対策｜VPNの隙を突く攻撃を防ぐ「3段階ロードマップ」 - 日本通信ネットワーク

ランサムウェア・VPN対策の優先度ロードマップ

何から手をつければよいかという優先順位の整理が、実際の対策着手における最大の壁です。以下に、即時対応から中期的な体制強化まで、段階的なロードマップを示します。

フェーズ1（即時対応）

現状のVPN機器の製品名・バージョンを台帳に記録し、最新のセキュリティパッチが適用されているかを確認します。未適用のパッチがあれば即時に適用してください。

VPN接続に多要素認証が設定されていない場合は、設定を最優先で進めます。特に管理者権限を持つアカウントから適用を始めてください。あわせて、自社が使用するVPN製品のベンダーセキュリティアドバイザリーの購読を設定し、脆弱性情報を見逃さない体制を整えます。

フェーズ2（3〜6ヶ月）

アクセス権棚卸しを実施し、退職者・不要アカウントを削除します。最小権限の原則に基づき、過剰な権限付与を見直してください。

SaaSの利用状況を可視化し、シャドーITを特定して対処します。承認されていないSaaSからの情報流出リスクを管理できる体制を構築した上で、インシデント対応手順書を作成し、机上訓練を 1 回実施します。

フェーズ3（6ヶ月〜1年）

VPNからZTNA製品への段階的移行を検討・実施します。まずリスクの高い外部アクセスから始め、順次移行してください。

エンドポイントセキュリティツールの導入・強化とバックアップ体制の見直しも並行して進めます。バックアップは3つのコピーを2種類のメディアに分散し、1つはオフサイト保存という体制を確立した上で、定期的な復元テストを実施してください。

SaaSセキュリティ 対策ゼロトラストセキュリティとは

参考: 2025年ランサムウェア感染経路ランキング！企業ができる対策と対処法を解説 - ISM

参考: 「情報セキュリティ10大脅威 2026」から学ぶ、最新の脅威と対策 - LAC

まとめ

ランサムウェアの最大の侵入口がVPN機器であるという現実は、データが示す通りです。対策は高度な技術を必要とするものではなく、基本的な管理の徹底から始められます。

情シス担当者が今すぐ取り組むべきことは 3 点です。自社のVPN機器のバージョンを正確に把握し、未適用パッチがあれば即時に対応すること。VPN接続への多要素認証設定を管理者アカウントから順次適用すること。SaaSを含む全アクセス権を棚卸しし、退職者・不要アカウントを削除すること。

中期的には、VPN依存を減らすゼロトラスト的なアプローチへの移行を計画してください。SaaSの可視化と一元管理は、ゼロトラスト実現の第一歩であると同時に、今日からでも着手できる実践的な対策です。

まず自社のSaaS利用状況とアクセス権の現状を把握することから始めてください。

情報漏洩 原因 対策 企業

‍サイバー攻撃 対策 企業

参考資料

• ランサムウェアの主要な侵入口「VPN機器」のセキュリティ対策実態調査 - Visional
• なぜVPNが狙われるのか？ランサムウェア対策 - InfiniCore
• VPNが抱える脆弱性とは？事例から対策まで解説 - エイチ・シー・ネットワークス
• ランサムウェアが狙うVPNの脆弱性。VPNの代替となり得るSASEという選択 - キヤノンITソリューションズ
• 大企業で「VPN時代が事実上、終焉」する2026年 - @IT
• 数字で読み解く2025年のランサムウェア脅威と2026年への備え - NTTインテグレーション
• いま、情シスが直面しているランサムウェアの脅威とその対策【2025年度版】 - ソフトクリエイト
• 2025年ランサムウェア感染経路ランキング！企業ができる対策と対処法を解説 - ISM