VPNの脆弱性を解決する「SASE」とは？NaaSとの違いや、VPNで起きやすい課題を解説

VPNゲートウェイは、サイバー攻撃の格好の標的となっています。
認証を突破されたり、ソフトウェアの脆弱性を悪用されたりすることで、不正アクセスのインシデントが増加傾向にあります。
特に深刻なのは、VPNを経由して内部ネットワークに侵入されてしまうことです。一度侵入を許してしまうと、攻撃者が社内システムを横断的に移動（ラテラルムーブメント）を行うことが可能になり、被害が組織全体に拡大してしまう場合があります。

実際に、警察庁が発表した調査※によると、令和7年上半期のランサムウェア被害報告件数は116件と、令和4年下半期と並び過去最多を記録しています。
さらに、被害の調査や復旧にかかる費用も高額化しており、ランサムウェアの被害にあった企業では、およそ6割が調査・復旧費に1,000 万円以上を要しています。VPNの脆弱性を狙った攻撃が、企業に深刻な経済的ダメージを与えていることが明らかになっています。

こうした状況にもかかわらず、多くの企業が未だに従来のVPNシステムに依存しています。
社内と社外の境界で防御する従来のセキュリティモデルでは、もはや巧妙化・高度化する攻撃に対応しきれません。

※出典：警察庁「令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について」

リモートワークの普及により、VPN同時接続数は爆発的に増加しました。
その結果、ネットワーク機器やライセンスの追加投資が必要となり、コスト増の悪循環に陥る企業が増えています。

<コスト増加に陥る流れ>

1. ①同時接続数の増加に合わせてVPN装置やライセンスの増強が必要になります。SaaSやクラウドサービスへのアクセスはすべて本社経由です。そのため、回線帯域の増強が避けられません。
2. ②こうした拡張対応は、初期投資に加えて運用工数も大幅に増やす要因となります。アプライアンスの維持、パッチ適用、監視といった作業が必要になるためです。
3. ③結果として、接続数が増えれば増えるほど、コストは右肩上がりに増加していきます。

本来、デジタル化やクラウド移行はコスト削減を目的としている取り組みです。しかし、VPNの制約により、かえってコストの増加を招いているという皮肉な状況が生まれています。

在宅勤務や支店・支社からのトラフィックは、データセンターのVPNゲートウェイに一度集約されます。その後SaaSやWebサービスへ再送されるため、本来直接アクセスできるクラウドサービスへの通信が大回りする構造になっています。
その結果、ネットワークの混雑が発生し、従業員の生産性が低下する恐れがあります。

実際に業務において下記のような影響が生じているケースもあります。

• Microsoft TeamsやZoomなどのWeb会議が頻繁に切断される
• 大容量ファイルのダウンロードに異常な時間がかかる
• クラウドアプリケーションのレスポンスが遅い

上記のような問題が日常的に発生することで、「どこからでも快適に働ける」というリモートワークの理想とは程遠い、ストレスフルな労働環境になってしまいます。

多くのIT担当者は、VPNの課題を十分に理解しています。
それでも解決への取り組みが進まない背景には、組織的な要因がいくつかあります。

まず、VPNの課題による影響が定量化されず、投資の優先度が上がらないという問題です。「遅い」「不便」といった定性的な課題は認識されていますが、それが生産性にどれだけの影響を与えて、どれだけの機会損失を生んでいるのかを具体的に数値化することが難しく、深刻さが認識できない状況になっています。

また、高価なアプライアンスを更新したばかりで、回線契約が残っているという現実的な制約もあります。数百万円から数千万円をかけて導入したVPN装置を、わずか数年で置き換えるのは、経営層の理解を得にくいものです。

さらに、組織が縦割り構造であることも深刻な問題です。
VPNはネットワークチームの資産ですが、脆弱性対策の実施はセキュリティチームの責任範囲にあります。そのため、どちらのチームが実際の対応を行うべきかが曖昧になり、結果として誰も根本的な解決に着手しない状況が生まれています。

こうした課題を解決するためには、ネットワークとセキュリティを統合して運用していくという新しいアプローチが必要です。次章では、VPNの脆弱性を解決する「SASE」の概念をご紹介します。

SASE（Secure Access Service Edge：セキュアアクセスサービスエッジ）は、2019年にガートナー社によって提唱されたサイバーセキュリティの概念です。ネットワーキングとセキュリティの機能を統合し、クラウドベースで一元的に提供するITフレームワークとして位置づけられています。

SASEは、WANエッジサービス（主にSD-WAN）とセキュリティサービスエッジ（SSE）を組み合わせます。これにより、すべてのユーザー、デバイス、アプリケーションをセキュアに接続します。

SASEは、従来の境界防御モデルからゼロトラストセキュリティへの移行を促進する実践的な手法です。

▼SASE概要を説明した画像

※引用：https://www.it-ex.com/promo/arubabiz/sse/

SASEと混同されやすい概念として、NaaS（Network as a Service）があります。
自社に合った適切なソリューション選択をするためには、両者の違いを正確に把握しておくことが重要です。

上記の表のとおり、NaaSはSASEを構成する要素の1つであり、SASEの実現に向けた重要なステップです。

NaaSでネットワークの最適化を図り、SSEでセキュリティを統合する。これにより、完全なSASEソリューションが実現されます。

SASEの導入は、単なるVPNの置き換えではありません。ネットワークとセキュリティの一貫した運用を実現すると同時に、セキュリティ強化を実現するIT基盤を確立できます。
ここでは、SASE導入がもたらす3つの主要なメリットを解説します。

SASEの中核となるSSEには、ZTNA（Zero Trust Network Access）が含まれます。
ZTNAを活用すれば、リモートアクセス用途のVPNの多くを廃止できます。これにより、VPN脆弱性によるリスクを根本的に解消できます。

また、FwaaS（Firewall as a Service）やSWG（Secure Web Gateway）により、サイバー攻撃を未然に防止できたり、ZTNA・CASB（Cloud Access Security Broker）の機能では、アプリケーション単位でのきめ細かいアクセス制御が可能だったりします。
これらの機能により、情報漏洩を未然に防止できます。

「必要な人が、必要なアプリケーションにだけ、必要な時にアクセスできる」という、真のゼロトラストセキュリティを実現することができます。

SD-WAN技術による経路最適化により、ネットワークの遅延や混雑を防止できます。

複数の回線を束ねて、アプリケーションごとに最適な回線へ動的に切り替えられるため、クラウドサービスへ直接アクセスすることが可能です。これにより、Web会議の品質向上、クラウドアプリのレスポンス改善、大容量ファイル転送の高速化といった効果が得られ、従業員の生産性を大幅に向上できます。

クラウドファーストが進む現代において、まさに必須の機能といえるでしょう。

SASEはネットワークとセキュリティを統合して提供するため、管理が一元化され、運用負荷を大幅に軽減できます。特に複数のネットワーク機器やセキュリティソリューションを個別に導入・運用している企業にとって効果的です。

他にも、SASEの導入でVPNを撤廃できるため、データセンターへの回線を縮小でき、通信コストを最適化できます。また、高価なアプライアンスのライセンス費用や、保守・運用にかかる人件費も削減可能です。
クラウドベースのサービスとして提供されるため、初期投資も抑えられます。

ここまでSASEの導入メリットを説明しました。次章では、SASEを構築するためのポイントとおすすめの製品をご紹介します。

SASEの構築を成功させるためには、SSE（Security Service Edge）の導入が欠かせません。
SSEは、ZTNA、SWG、CASB、FWaaSなどのセキュリティ機能をクラウドサービスとして提供します。これにより、あらゆる場所からの安全なアクセスを実現します。

中でも特に注目したいのが、「HPE Aruba Networking SSE」です。
同ソリューションは、VPNを完全に撤廃できる強力なZTNA機能を持ちます。エージェント型・エージェントレス型の両方に対応可能です。サプライチェーンや協力企業といった、エージェントをインストールできない環境でも、安全なアクセスを提供できます。

また、統合プラットフォームとして開発されているため、複数の製品を寄せ集めたソリューションとは異なりシームレスな運用が可能です。AWS、Azure、Google、Oracleのクラウドバックボーンを介した最適化により、高い可用性と優れたパフォーマンスを実現しています。

VPNの課題を根本から解決し、真のゼロトラストセキュリティを実現するHPE Aruba Networking SSEの詳細については、ぜひサービス紹介ページをご覧ください。

HPE Aruba Networking SSE 製品紹介ページ