VPNに潜むパスワード認証の危険性と現実的な対策
株式会社インターナショナルシステムリサーチ
2026年5月15日
本記事のまとめ
社員のVPNアカウントのパスワードが漏洩し機密情報へのアクセスを攻撃者に許してしまうと、重大なセキュリティインシデントとなります。 VPNにおける認証のセキュリティを高めるには、パスキーをはじめとした「多要素認証(MFA)」と、パスワード漏洩時にも機密情報へのアクセスを防ぐ「アクセス制限」が有効です。
国産IDaaS「CloudGate UNO」は、全プランで使いやすいパスワードレス認証と高度なアクセス制限を提供しており、FortigateやCiscoといった大手VPNとのSSO連携も検証済みです。
はじめに:VPNを起点とするサイバー攻撃が深刻化
テレワークの定着によりVPNは不可欠なインフラとなりましたが、同時にサイバー攻撃の最大の標的となっています。警察庁が2025年3月に公開した最新レポートによると、ランサムウェア被害に遭った企業の約6割が「VPN機器」からの侵入を報告しています。
VPNが起点となったインシデント事例
- 繊維メーカー、サイバー攻撃で決算発表を延期
深夜にVPN経由で不正アクセスを受け、サーバー内のファイルが暗号化。決算発表の延期を余儀なくされました。
- 医療機器の保守用VPNから侵入、大学病院でランサムウェア被害
医療機器保守用のVPN装置から侵入され、約1万人分の個人情報が漏洩。ナースコールシステムまで停止する被害が発生しました。
VPNのパスワードにご用心
VPNでよく言われるセキュリティリスクとして「メーカーで修正するべき脆弱性が残っている」「管理側でアップデートを未実施のまま」などがありますが、ユーザーがVPNへの認証にパスワードを使用していることも見逃せません。
VPN経由でランサムウェア被害に遭った企業へのアンケート結果(警察庁 令和8年)によれば、VPNへの侵入の原因として「攻撃者は、未修正の脆弱性、漏えいした認証情報や簡易なパスワード、設定不備等を悪用して組織のネットワークへ侵入する。」とあり、「パスワード」がVPNの重大なリスクになっていることがわかります。
パスワードに起因するVPNのリスク
VPNの認証にパスワードを使用する際に考えられるリスクを確認しましょう。
境界防御を無効化するログイン画面からの侵入
多くのVPNでは「一度認証を通れば内部は安全」とみなす境界防御モデルを採用しています。しかし、フィッシング攻撃、パスワードリストの漏洩、ダークウェブでの売買などによってID・パスワードが漏洩していると、攻撃者は「正当なユーザー」としてログイン画面から堂々と侵入します。これにより、従来のセキュリティ対策では検知困難な「横展開(ラテラルムーブメント)」が可能になります。
パスワード運用の形骸化とリテラシーの限界
VPNも含めた数多くのパスワードを適切に管理できているユーザーはほとんどいません。セキュリティ対策として「パスワードの複雑化」や「定期更新」を求めても、実態はよく似たパスワードの使い回しを助長する結果となりがちです。増え続けるパスワード管理の負担が、組織全体のセキュリティリテラシーを低下させ、情報漏洩リスクを増大させています。
管理不備とデフォルトパスワードの放置
VPN機器のメンテナンス不足も致命的です。古い機器に認証バイパスの脆弱性が残っているケースや、導入時の「初期パスワード」が変更されずに放置されているケースが多く、これらが攻撃者の格好の侵入口となっています。
ラテラルムーブメントを防ぐには、パスワードに依存しない認証を実装するだけでなく、全てのアクセスを疑い権限を最小化する「ゼロトラスト」の概念に基づいたアクセス制限を導入し、 万が一の侵入時にも被害を最小限に抑える設計が不可欠です。
VPNのパスワードリスクを克服するセキュリティ対策
VPNの認証へのセキュリティ強化は急務といえます。とはいえ、既存のVPN環境を即座に廃止することは難易度が高いでしょう。まずは「認証の強化」から着手し、段階的にゼロトラストモデルへ移行するのが最も現実的です。
対策1:既存VPNへの「多要素認証(MFA)」導入
まずは現在のVPNに多要素認証(MFA)を設定しましょう。
パスワードに加え、「ワンタイムパスワード」や「生体認証(指紋・顔)」による認証を必須化します。これにより、万が一パスワードが盗まれても、物理的なデバイスや本人の生体情報がなければ侵入を阻止できる環境を構築します。
VPNに多要素認証を設定できない場合や、他にもクラウドサービスを活用している場合、CloudGate UNO等のシングルサインオンもしくはIDaaSと連携し、MFAを導入することで、認証のセキュリティを高めつつ、ID管理の手間を削減できます。
最終的には企業ネットワーク全体で「パスワード」そのものを使用しない運用へ移行することが目標です。
SSO(例:CloudGate UNO)とVPN(例:FortiGate)の連携
2026年5月現在、CloudGate UNOとFortiGateにSAML連携することで、FortiClientに多要素認証を強制化することができます。
ユーザーがFortiClientにログインを試みると、CloudGate UNOが立ち上がり、事前に管理者側で定めた認証方式に誘導します。
パスワードを使用しないことで、リスクを低減できます。
対策2:柔軟な「アクセス制限」の適用
ユーザーの役職やデバイス、アクセス場所、時間帯に基づき、クラウドサービスごとに動的なアクセス制限を行います。これにより、万が一、VPNの認証情報が漏洩したとしても外部からのアクセスをブロックできます。
CloudGate UNOで実現できるアクセス制限の例:
- 全てのクラウドサービスは許可された端末からのみログイン可(証明書を利用)
- 機密情報システムは会社支給端末+社内IPからのみ許可
- コミュニケーションツールは生体認証があればどこからでも許可
など
CloudGate UNOのようなIDaaSでは、VPN以外のクラウドサービスにも詳細なアクセス制限が適用可能であり、セキュリティと生産性を両立できます。
IDaaS(例:CloudGate UNO)とVPN(例:FortiGate)の連携
2026年5月現在、CloudGate UNOとFortiGateをSAML連携することで、FortiClientのアクセス条件を設定することができます。
ユーザーがFortiClientにログインを試みると、CloudGate UNOが立ち上がり、正しいアクセス条件でアクセスしているかを検証します。
VPNの認証にパスワードを使用しておりパスワードが漏洩していたとしても、ネットワークに侵入されるリスクを低減できます。
クラウド活用を進めるにあたり、長期的には境界型防御のVPNからネットワーク全てを保護するSASEの導入もご検討ください。
弊社ではSASEのご紹介も承っております。VPNのセキュリティに関して、お困りごとをご相談ください。
CloudGate UNOによるVPNセキュリティ向上の成功事例
VPNの認証強化から着手し、パスワードリスクを克服した企業の事例をご紹介します。
鋼製屋根材メーカー
(FortiGate利用)
事業所閉鎖に伴い、外部からのVPN利用を強化。特にDropboxとメールでVPNを使用しており、CloudGate UNOを導入することで、VPNと他SaaSの認証強化を同時に実現しました。
半導体用薬品メーカー
(FortiGate利用)
全体のセキュリティ強化の一環として、まずはクラウドの認証を強化するためにCloudGate UNOを導入。現在、サポートが中止されたSSL-VPNを使用しているため、将来的にはIPsecへの切り替えも含めて検討を進めています。
道路舗装建築業
(Cisco利用)
VPNの認証強化は必須の要件であったため、CloudGate UNOとVPNを連携させてセキュアな環境を構築しています。
まとめ:VPN運用ではパスワードリスクへの対策が必須
VPNのログインパスワードは重大なセキュリティリスクです。一方、真に解決すべき経営リスクは「パスワードに依存した認証運用」にあります。パスワード漏洩はもはや「防げない」という前提に立ち、多要素認証やアクセス制限を段階的に適用することが、安全で止まらないビジネス環境への第一歩となります。
まずは、既存のVPNに多要素認証を設定できるか確認しましょう。
現在ご利用中のVPNとクラウドサービスに多要素認証と
アクセス制限を実装できるかご相談ください
\CloudGate UNOがわかる資料充実!/
まずは資料請求\無料相談、デモ、お見積り承ります/
無料で専門家に相談する
CloudGate UNO(クラウドゲート ウノ)はシングルサインオン(SSO)・アクセス制限・IAM・多要素認証(MFA)で安全性と利便性を両立させた、国産IDaaSプラットフォームです。
TEL:03-5942-8315(平日10:00 ~ 17:00)
FAX:03-5942-8313(24時間受付)
