VPNとは何か、改めて整理する
「VPN」という言葉はすっかり一般化しましたが、その仕組みを正確に理解している方は意外と少ないかもしれません。VPN(Virtual Private Network)とは、インターネットのような公共ネットワーク上に、暗号化された仮想的な専用回線を構築する技術です。物理的な専用線を引くことなく、安全な通信経路を確保できるため、拠点間接続やリモートアクセスの手段として長年にわたり企業インフラの根幹を支えてきました。
VPNにはいくつかのプロトコルが存在しますが、企業ネットワークで広く使われてきたのが IPSec VPN と SSL/TLS VPN の2種類です。両者は動作するOSI層が異なり、得意とするユースケースも異なります。
IPSec VPNとSSL VPNの違い
プロトコルの動作層と特性
IPSec VPNはOSI参照モデルのネットワーク層(第3層)で動作します。IPパケットそのものを暗号化・認証するため、アプリケーションの種類に関わらずすべての通信を保護できます。主にAH(認証ヘッダ)、ESP(暗号化ペイロード)、IKE(鍵交換)という3つのプロトコルで構成されており、実装はシンプルで長年の実績による枯れた技術です。企業の本社と支社を常時接続するサイト間VPNでの採用が多く、ルーターやファイアウォールといった専用機器での終端が一般的です。
一方のSSL/TLS VPNはアプリケーション層(第7層)で動作し、HTTPS通信に使われるポート443番を使います。ブラウザやクライアントアプリだけで接続できるため専用機器が不要で、在宅勤務者や外出中の社員がノートPCやスマートフォンから社内システムへ接続するリモートアクセス用途に広く普及しました。
| 項目 | IPSec VPN | SSL/TLS VPN |
|---|---|---|
| 動作層 | ネットワーク層(L3) | アプリケーション層(L7) |
| 主な用途 | 拠点間接続(サイト間) | リモートアクセス |
| 使用ポート | UDP 500/4500(ESP) | TCP 443(HTTPS) |
| 専用機器 | 必要なことが多い | 不要(ソフトウェアのみ可) |
| 実装の複雑さ | 比較的シンプル | 機能が多く複雑になりやすい |
| FW通過のしやすさ | 塞がれやすい | 通過しやすい |
セキュリティ強度の比較
よく誤解されるのですが、「IPSecの方がSSLより安全」というわけではありません。暗号強度そのものはほぼ同等であり、最新のTLS 1.3は非常に強力な暗号化を提供します。実際のリスクは暗号アルゴリズムの強弱よりも、設定の誤りや実装上の脆弱性に起因することがほとんどです。ただし、IPSecは実装がシンプルな分だけ攻撃面(アタックサーフェス)が小さく、設定ミスも起きにくいという利点があります。
FortiGateとは何か
次世代ファイアウォールとしての位置づけ
Fortinet社が提供する FortiGate は、VPN専用製品ではありません。ファイアウォール、アンチウイルス、Webフィルタリング、IPS(侵入防御)、VPN、SD-WANなど、複数のセキュリティ機能を1台に統合したUTM(統合脅威管理)製品、あるいは次世代ファイアウォール(NGFW)として分類されます。
他社ではファイアウォール・VPN・ルーターを別々の製品で組み合わせるケースが多いのに対し、FortiGateはこれらをすべて独自OS(FortiOS)上で統合的に管理できます。独自開発のセキュリティプロセッサ(FortiASIC)を搭載しており、複数のセキュリティ機能を有効にした状態でも高いスループットを維持できる点が評価されてきました。VPN機能はその中の一機能に過ぎませんが、IPSec VPN・SSL VPNの両方に対応しており、中小企業から大規模エンタープライズまで幅広く採用されてきました。
FortiGate SSL-VPN廃止の衝撃
何が起きたのか
2025年秋、FortinetはFortiOS 7.6.3以降においてSSL-VPNトンネルモードを廃止すると正式に発表しました。継続利用できる最終バージョンとされるFortiOS 7.4系は2026年5月頃にサポート終了が予定されており、既存ユーザーにはIPSec VPNまたはZTNA(ゼロトラストネットワークアクセス)への移行が求められています。
長年リモートアクセスの主役だったSSL-VPNが、その開発元自らの手によって廃止されるというのは、業界に大きな衝撃を与えました。なぜこのような決断に至ったのでしょうか。
SSL-VPNに攻撃が集中した構造的な理由
FortiGateのSSL-VPNには2018年以降、毎年のように重大な脆弱性(CVE)が発見され続けてきました。パスワード漏えい(CVE-2018-13379)、未認証アクセス(CVE-2019-5591)、バッファオーバーフローによるリモートコード実行(CVE-2023-27997)など、その影響は数十万台規模のデバイスに及ぶこともありました。
なぜSSL-VPNばかりが狙われるのか。その理由は技術的な構造にあります。
第一に、ポート443で常時インターネットに公開されているという性質です。HTTPSと同じポートを使うため、ファイアウォールで塞ぐことができず、世界中のどこからでも接続を試みられる状態が24時間365日続きます。IPSecは専用ポートを使うため管理者が塞ぎやすいのとは対照的です。
第二に、実装の複雑さです。SSL-VPNはブラウザ、Windows、macOS、iOS、Androidなど多様なクライアントに対応するため、コードが膨大になります。機能が多いほど脆弱性が潜む箇所も増え、攻撃者に悪用される可能性が高まります。
第三に、認証前にコードが実行されるという構造上の問題があります。SSL-VPNはユーザーがログインするより前の段階、つまりログイン画面を表示する処理の中ですでにサーバー側でコードが動いています。認証をパスしなくても、その手前の処理を直接攻撃できるのです。FortiGateで発見された致命的な脆弱性の多くは、まさにこの認証前の処理に存在していました。
これらの条件が重なった結果、「常時ネット公開 × 複雑な実装 × 認証前攻撃が可能 × 普及率が高い」というSSL-VPNは、攻撃者にとって非常にコストパフォーマンスの高い標的となりました。Fortinetは対症療法的なパッチ適用では限界があると判断し、SSL-VPNトンネルモード自体を廃止するという決断を下したのです。
移行先の選択肢:IPSec VPNとZTNA
IPSec VPNへの移行
短期的な移行先として最も現実的なのはIPSec VPNです。FortiGateはIPSec VPNを引き続きサポートしており、設定の移行手順もFortinetから提供されています。既存の機器・ライセンスをそのまま活用できるため、コストを抑えながら移行できる点が魅力です。
ただしIPSec VPNも「一度つながれば社内ネットワーク全体にアクセスできる」という設計思想は変わりません。侵害されたアカウントや端末からの横展開リスクは依然として残ります。
ZTNA(ゼロトラストネットワークアクセス)への移行
中長期的な観点では、ZTNAへの移行が本命と言えます。ZTNAは「一度認証されたからといって信頼しない」というゼロトラストの思想に基づき、アクセスのたびにユーザー・デバイス・コンテキストを検証し、必要最小限のリソースへのアクセスのみを許可します。VPNのように「社内ネットワークに入れる」のではなく、「特定のアプリケーションにだけアクセスできる」という粒度での制御が可能です。
FortinetはFortiSASEやFortiZTNAという製品でこの移行をサポートしており、既存のFortiGate環境との統合も考慮された設計になっています。
業界全体への波及と今後の展望
FortinetのSSL-VPN廃止は単独の出来事ではありません。VPN装置がランサムウェア攻撃の侵入口として悪用されるケースは近年急増しており、IPAや経済産業省もVPN機器の脆弱性管理を重点課題として挙げています。Palo AltoやCisco、Pulse Secureなど他のベンダーの製品でも類似の脆弱性が相次いで発見されており、業界全体が「VPNからゼロトラストへ」という構造的な転換点を迎えています。
セキュリティ担当者やインフラエンジニアにとって、この流れは対岸の火事ではありません。現在使用しているVPN製品のEOL(サポート終了)スケジュールを確認し、移行計画を今から立てておくことが重要です。技術の進化は「より便利なもの」を求めるだけでなく、「これまで便利だったものの限界」を直視することでも加速します。SSL-VPN廃止という決断は、まさにその象徴と言えるでしょう。