Fortinet SSL-VPN見直しで始める脱VPN

リモートアクセスの標準手段として広く使われてきたFortinetのSSL-VPNは、いま見直し局面に入っています。背景には、SSL-VPNを狙った脆弱性対応が続いていることに加え、Fortinet自身がZTNA（ゼロトラスト・ネットワーク・アクセス）への移行を強く推奨している状況があります。重要なのは「すべての環境でSSL-VPNが突然使えなくなる」という話ではなく、OSや機種条件によってはSSL-VPNが利用できないケースが出始め、今後の設計判断が難しくなっている点です。情シスとしては、場当たり的な更改ではなく、期限と実態を踏まえた“脱VPN”の計画が必要になります。

Contents

1 情報収集｜Fortinet SSL-VPNで何が変わる？
- 1.1 FortiOS 7.6で起きている変更点
- 1.2 脆弱性対応が「運用の上限」を決める
2 比較検討｜IPsec延命と脱VPNの判断軸
- 2.1 IPsec-VPN移行は「置き換え」だが、運用は軽くならないことがある
- 2.2 “脱VPN”は接続方式の変更ではなく、アクセス対象の再配置
3 導入・運用｜現場を止めない脱VPNの進め方
- 3.1 まずは「現場の困りごと」から逆算する
- 3.2 Fleekdriveで“データ側”の統制を厚くする

情報収集｜Fortinet SSL-VPNで何が変わる？

FortiOS 7.6で起きている変更点

FortiOS 7.6系では、SSL-VPNの扱いが段階的に変わっています。たとえばFortiOS 7.6.0以降では、メモリ2GB以下の一部モデルでSSL-VPNが利用できないケースがあり、さらに7.6.3以降は全モデルでSSL-VPNトンネルモードがGUI/CLIから利用できないといった変更が示されています。そのため、アップグレードや機器更改のタイミングで「これまで使っていたSSL-VPNが使えなくなる」可能性がある点に注意が必要です。まずは自社の機種と稼働バージョンを照合し、移行方針（IPsecやZTNA等）を検討してください。

https://www.fortinet.com/jp/blog/psirt-blogs/analysis-of-threat-actor-activity
Fortinet

脆弱性対応が「運用の上限」を決める

SSL-VPNは、深刻な脆弱性が報告されるたびに緊急パッチや暫定対応が発生しやすく、結果として夜間・休日対応が常態化しがちです。
たとえばCVE-2024-21762は、認証されていない遠隔の第三者が細工したリクエスト（HTTPリクエスト等）を送信することで、任意のコードまたはコマンドを実行される可能性があるとして注意喚起されています。

https://www.ipa.go.jp/security/security-alert/2023/alert20240209.html
IPA 情報処理推進機構

https://www.jpcert.or.jp/at/2024/at240004.html
JPCERT/CC

こうした事案が続くと、技術的なリスクだけでなく、運用体制そのものが疲弊し、他の重要施策に手が回らなくなります。

比較検討｜IPsec延命と脱VPNの判断軸

IPsec-VPN移行は「置き換え」だが、運用は軽くならないことがある

SSL-VPNの代替としてIPsec-VPNに寄せる判断は現実的です。一方で、IPsecはクライアントソフト配布、端末ごとの設定、証明書管理などが増えやすく、運用負荷が下がらないケースもあります。VPN機器を自社で持ち続ける限り、機器の保守期限や脆弱性対応から完全に解放されるわけではない点も押さえておくべきです。

“脱VPN”は接続方式の変更ではなく、アクセス対象の再配置

脱VPNの本質は、VPNの種類を入れ替えることではありません。社外からアクセスする対象、特にファイルサーバーを前提とした業務を、クラウド前提に組み替えることです。データの置き場所を見直し、ID・権限・ログを中心に設計することで、VPNという単一の入口に依存しない働き方へ移行しやすくなります。

導入・運用｜現場を止めない脱VPNの進め方

まずは「現場の困りごと」から逆算する

脱VPNは、セキュリティ理想論から入ると失速します。建設・製造・クリエイティブなど、ファイルが業務の中心にある現場ほど、困りごとから設計すると進めやすくなります。

建設：現場事務所や協力会社との図面共有で、VPN接続が不安定だと作業が止まる
製造：外注先との品質書類や仕様書の受け渡しで、権限ミスが監査リスクになる
クリエイティブ：大容量データの受け渡しで、VPN越しの操作が重く納期に響く

ここで重要なのは「誰が、どのデータに、どの操作をする必要があるか」を先に固定することです。

Fleekdriveで“データ側”の統制を厚くする

Fleekdriveは、AWS基盤を前提とした法人向けクラウドストレージとして、VPNに依存しないファイルアクセス設計を取りやすくします。さらに、ネットワークの入口管理だけでは不足しがちな「データ単位の統制」を組み込みやすい点がポイントです。

ファイルやフォルダ単位で権限を設計し、閲覧のみ・ダウンロード不可などの制御が可能
社外共有リンクにパスワードや有効期限をポリシーとして設定し、運用ブレを抑えやすい
操作ログを残し、監査やインシデント調査の説明責任に備えやすい

VPNを“残す・捨てる”の二択ではなく、まずファイル共有の中心をクラウドへ移すことで、VPN依存を段階的に薄める判断が現実的です。

Fleekdriveブログ

Fortinet SSL-VPN見直しで始める脱VPN

情報収集｜Fortinet SSL-VPNで何が変わる？

FortiOS 7.6で起きている変更点

脆弱性対応が「運用の上限」を決める

比較検討｜IPsec延命と脱VPNの判断軸

IPsec-VPN移行は「置き換え」だが、運用は軽くならないことがある

“脱VPN”は接続方式の変更ではなく、アクセス対象の再配置

導入・運用｜現場を止めない脱VPNの進め方

まずは「現場の困りごと」から逆算する

Fleekdriveで“データ側”の統制を厚くする

関連記事

脱VPNで進めるクラウド型ファイル共有

ZTNAとVPNの違い｜FortiSASE移行と脱VPN

海外拠点のファイル共有とデータ所在規制

業務承継を支える属人化解消術

取締役会への情報セキュリティ報告術

SCS評価制度対策｜証跡管理の自動化

Fleekdriveブログ

Fortinet SSL-VPN見直しで始める脱VPN

SNSシェア

情報収集｜Fortinet SSL-VPNで何が変わる？

FortiOS 7.6で起きている変更点

脆弱性対応が「運用の上限」を決める

比較検討｜IPsec延命と脱VPNの判断軸

IPsec-VPN移行は「置き換え」だが、運用は軽くならないことがある

“脱VPN”は接続方式の変更ではなく、アクセス対象の再配置

導入・運用｜現場を止めない脱VPNの進め方

まずは「現場の困りごと」から逆算する

Fleekdriveで“データ側”の統制を厚くする

SNSシェア

関連記事

脱VPNで進めるクラウド型ファイル共有

ZTNAとVPNの違い｜FortiSASE移行と脱VPN

海外拠点のファイル共有とデータ所在規制

業務承継を支える属人化解消術

取締役会への情報セキュリティ報告術

SCS評価制度対策｜証跡管理の自動化