SSL-VPNの脆弱性対応が続くなかで、「また緊急パッチか」「VPN装置の監視と問い合わせ対応に追われている」と感じている情シス担当者は少なくありません。特に、社内ファイルサーバーへのアクセスを前提にした運用では、リモートアクセス基盤そのものの見直しだけでなく、どこに業務データを置くかまで含めて再設計する必要があります。
本記事では、ZTNA(Zero Trust Network Access)とVPNの違いを整理したうえで、FortiSASEのようなSASEへの移行で何が変わるのか、さらにファイルサーバー依存を減らして脱VPNを進める現実的な進め方を解説します。
Contents
情報収集:SSL-VPNが“運用課題”になった背景
相次ぐ脆弱性で「緊急対応」が常態化
FortiOSのSSL-VPNでは、2024年に認証されていない遠隔の第三者によって任意のコードまたはコマンドを実行される可能性がある脆弱性として、CVE-2024-21762が公表されました。こうした脆弱性は、単にパッチを当てれば終わりではなく、影響確認、適用判断、作業計画、社内周知まで含めて情シスの負荷になりやすいのが実情です。
JPCERT/CC
VPN中心の運用は、構造的に負荷が積み上がりやすい
VPNはリモートアクセスの定番ですが、運用面では装置の保守、接続不具合対応、権限例外、脆弱性監視といった作業が継続的に発生します。Fortinetの日本語ページでも、VPNは詳細なアクセス制御が難しくなりやすいことや、安全でないエンドポイントが接続されるリスク、VPN装置が単一障害点になり得ることが示されています。
https://www.fortinet.com/jp/resources/cyberglossary/remote-access-vpn
https://www.fortinet.com/jp/resources/cyberglossary/ztna-vs-vpn
Fortinet
違いの本質は「ネットワーク単位」か「アプリケーション単位」か
ZTNAとVPNの大きな違いは、アクセス制御の単位です。Fortinetの日本語解説では、VPNがネットワーク全体への接続を前提にしやすいのに対し、ZTNAは特定のサービスやアプリケーションへのみアクセスを認める考え方として説明されています。つまり、VPNは「社内に入るための通路」を作りやすく、ZTNAは「必要な対象だけに通す」設計に寄せやすい、という違いがあります。
Fortinet
ZTNAは「最小権限」と「都度確認」に寄せやすい
ZTNAでは、ユーザーや端末の状態を踏まえて、セッション単位できめ細かくアクセスを制御する考え方が中心になります。Fortinetの日本語ページでも、ZTNAはアプリケーションをインターネットから不可視化しつつ、ユーザーとデバイスの検証を行い、同じポリシーを場所に依存せず適用できることが説明されています。
https://www.fortinet.com/jp/solutions/enterprise-midsize-business/network-access/application-access
Fortinet
比較検討:FortiSASE移行で何が変わるのか
FortiSASEはZTNAを含むSASEをクラウド側で統合しやすい
FortiSASEは、Fortinetの日本語製品ページで、ZTNA、SWG、CASB、FWaaS、RBI、SSPM、セキュアSD-WAN、DEMを単一のコンソールで管理できるSASEとして紹介されています。拠点ごとにVPN機器を持ち、個別に設定や保守を回す形よりも、ポリシーや可視性を集約しやすいのが特徴です。
端末状態やリモートアクセスの統制を強めやすい
FortiClientの日本語ページでは、可視性、制御、ZTNA、セキュアリモートアクセス、エンドポイント保護を提供するユニファイドエージェントとして案内されています。FortiSASEやZTNAの導入では、こうしたクライアント側の制御と組み合わせることで、誰が、どの端末で、どこに接続するかを従来より細かく管理しやすくなります。
ただし、社内ファイルサーバーが残ると“トンネル運用”は残りやすい
ここで見落としやすいのが、リモートアクセス基盤をZTNAやSASEに置き換えても、社内ファイルサーバー依存が残る限り、社内向けアクセス運用そのものは残りやすいことです。
たとえば、建設なら図面、製造なら手順書や品質文書、クリエイティブなら大容量データの受け渡しが日常業務の中心です。こうしたファイルアクセスが主目的である以上、ネットワーク側だけを刷新しても、運用負荷の根本原因が残るケースがあります。
導入・運用:ファイルサーバー依存を減らして脱VPNを進める
「VPNが必要」なのではなく、「社内ファイルに入りたい」ことが多い
実務では、VPN接続の目的が業務システムそのものではなく、社内に置かれたファイルサーバーや共有フォルダへのアクセスになっている企業が少なくありません。そのため、脱VPNを本気で進めるなら、ネットワーク基盤だけでなく、ファイル共有の置き場をクラウドへ移すかどうかまで含めて考える必要があります。
Fleekdriveなら、データ中心のアクセス制御に寄せやすい
Fleekdriveでは、IPアドレス制限、アップロード時のウイルスチェック、ファイル暗号化保管などの機能があります。また、ログ証跡機能によって操作履歴を追跡できます。これにより、社内ネットワークへ広く接続させるのではなく、必要なファイルやフォルダへ必要なユーザーだけを通す運用に寄せやすくなります。
認証強化と証跡管理を組み合わせて、社外共有の統制を高める
Fleekdriveでは2段階認証が案内されており、SMSやメールによる認証コードを使ったログインが可能です。加えて、操作ログやアクセス制御を組み合わせることで、単に「社外から見られる」状態ではなく、誰がいつ何をしたかを追いやすい共有運用を設計しやすくなります。
現場別に考えると、移行の優先順位が見えやすい
本記事の論点は、PPAPやシャドーITの一般論ではなく、現場で実際に何が困っているかです。たとえば、次のようなケースでは、ファイルサーバー依存の見直しが効果を出しやすくなります。
- 建設業:協力会社との図面共有で、権限変更や期限管理が多い
- 製造業:品質文書や手順書の改訂が多く、最新版管理が重要
- クリエイティブ業:大容量ファイルのやり取りが多く、版管理と共有範囲の制御が必要
こうした業務では、VPNの有無そのものよりも、ファイル共有の統制が業務効率とセキュリティを左右することが少なくありません。
情シスが進めやすいロードマップ
段階的に進めるなら、次の順番が現実的です。
- VPN経由のアクセス先を棚卸しする
ファイル共有、業務システム、管理用接続に分類する - ファイルアクセス中心の部門から切り出す
共有頻度が高く、社外関係者との受け渡しが多い業務を優先する - 残る社内向け接続をZTNA/SASEで絞り込む
すぐにクラウド化しにくいシステムは、最小権限で維持する - 運用指標で評価する
問い合わせ件数、権限変更の手間、監査対応工数、緊急パッチ対応回数を比較する
この進め方なら、VPNを一気にゼロにする前提ではなく、VPN運用コストを最小化しながら、より高いレベルのゼロトラスト運用へ近づける設計がしやすくなります。
ネットワーク刷新とデータ移行を“セット”で設計する
ZTNAとVPNの違いは、単なる新旧比較ではなく、アクセスをどの単位で制御するかという設計思想の違いです。FortiSASEのようなSASEへの移行は、リモートアクセスの統制や可視性を高める有力な選択肢です。
一方で、社内ファイルサーバー依存が残る限り、社内向けアクセス運用の負荷は残りやすくなります。だからこそ、ネットワークレイヤーの見直しとデータレイヤーのクラウド化をセットで考えることが、脱VPNと運用負荷削減の近道です。Fleekdriveのような法人向けクラウドストレージを活用すれば、社外共有や証跡管理を含めた運用設計に移しやすくなります。
