コロナ時に応急的に整えたテレワーク環境を、5年経ったいまもそのまま使い続けている中小企業は少なくありません。一方で警察庁の集計では、2024年上半期のランサムウェア感染経路の約半数がVPN機器経由でした。「つながるから大丈夫」のまま放置すると、証明書管理や脆弱性対応が後から重くなります。
2020年に応急的に導入したVPN、貸し出したノートPC、メールで送付した接続マニュアル──そのまま5年間動かしてきた、というケースは中小企業の現場でよく見られます。「動いているから触らない」が、いつも安全とは限らないという現実を、データが示しはじめました。
テレワーク環境を見直すときは、導入時の手軽さだけでなく、IT専任者が少ない会社でも回せる運用かどうかを見ます。接続方法、証明書管理、脆弱性対応の3点で、後から無理が出ない構成を選ぶ必要があります。
中小企業のテレワークVPNが、攻撃の侵入口になっている
警察庁の発表によれば、2024年上半期に確認されたランサムウェア感染被害47件のうち、約46.8%(22件)がVPN機器経由での侵入でした。2024年通年のランサムウェア被害は222件にのぼり、その63%(140件)が中小企業に集中しています。被害企業の約半数で、セキュリティパッチが未適用だったことも警察庁は指摘しています。
・ランサムウェア感染経路の46.8%がVPN機器経由(警察庁、2024年上半期)
・2024年ランサムウェア被害222件、うち63%が中小企業(前年比37%増)
・被害企業の約半数がセキュリティパッチ未適用
・IPA「情報セキュリティ10大脅威2025」でランサムウェアが11年連続1位 出典:警察庁「サイバー空間をめぐる脅威の情勢」、IPA「情報セキュリティ10大脅威 2025」
2025年1月には主要VPN製品Ivanti Connect Secureで無認証リモートコード実行が可能な脆弱性(CVE-2025-0282、CVSS 9.0)が公表され、世界的に被害が広がりました。VPN製品は世界中で広く使われているため、脆弱性公表後に標的化されやすい構造があります。
視点 1:既存ネットワークを変更せずに導入できるか
テレワークVPNを導入する際、既存のルーター、固定IPアドレス、ISP契約などの大幅な変更が必要な構成は、中小企業のIT担当者にとって導入ハードルが高い領域です。導入の段階で挫折したり、設定不備のまま運用に入ったりすると、それ自体がセキュリティ事故の温床になりかねません。
近年は、既存ネットワークに追加機器を挿すだけでVPNを構築できる「アプライアンス型」サービスが増えています。配線を変えず、専用機器を社内LANに接続し、利用者PCに証明書を入れるだけで運用に入れる構成です。導入段階でつまずきにくく、結果としてセキュリティ運用の質も保ちやすくなります。
視点 2:証明書の発行・失効が、運用側で即時にできるか
VPNのセキュリティを支える中核は、認証(誰がアクセスを許されるか)です。中小企業でしばしば見落とされるのが、退職者・異動者の証明書を即座に失効できる体制です。退職処理から数日経っても古い証明書でアクセスできる状態が続くと、内部脅威の温床になります。
提案を受ける際は、「証明書の発行・失効をWeb画面で即時に行えるか」「VPN接続ログを取得できるか」「同時接続数や利用時間が可視化できるか」を確認しておくと、運用フェーズでの安全性が変わります。中小企業のIT担当者が片手間で運用しても回り続けるかどうか、ここが選定の分かれ目になります。
視点 3:汎用VPN製品の脆弱性と、専用機器の攻撃面
Ivanti、Fortinet、Cisco、Citrixといった主要VPN製品では、CVSS 9以上の重大脆弱性が立て続けに公表されてきました。広く使われている製品ほど、脆弱性公表時に攻撃の標的になりやすい構造があります。さらに警察庁の集計では、被害企業の約半数がパッチを当てていなかった、というデータも示されています。
一方、専用設計のアプライアンス型サービスでは、ファームウェアの更新をベンダーが一元的に運用できる利点があります。製造業の工場、医療機関の電子カルテ環境、士業事務所の依頼者データ、自治体の住民情報など、外部から触れさせたくない業務を抱える事業者では、攻撃面の小ささそのものが選定基準の一つになります。
VPNは導入後の運用で差が出る
中小企業のテレワーク環境は、導入の簡単さだけでなく、その後の証明書管理、ログ確認、脆弱性対応まで含めて設計する必要があります。既存ネットワークを変えずに導入できる構造、証明書の運用がIT専任者なしでも回る仕組み、攻撃面が小さく更新がベンダー側で回る仕組みを確認しておくと、運用負荷と事故リスクを同時に下げやすくなります。
フォースネット株式会社の『おうちワークBOX』は、2017年から提供してきたワンタッチVPNのノウハウをもとに、既存ネットワーク構成を変えずに専用機器を社内LANに挿すだけで使えるテレワーク向けVPNサービスとして開発されました。2024年5月には管理ポータル機能を追加し、VPN証明書の発行・失効・接続ログ取得を運用側で即時に行えるよう拡張しています。