「FortiGateのSSL-VPNが廃止になると聞いたが、自社はどうすればいい?」「SSL-VPNのサポートが終わった後も使い続けられるの?」こうした疑問を持つIT担当者・経営者が急増しています。本記事では、SSL-VPNの廃止・EOLが進む背景と主要ベンダーの動向を整理したうえで、移行先の選定ポイントや移行スケジュールの考え方、代替選択肢の比較をわかりやすく解説します。
SSL-VPNとは何か、なぜ使われてきたか
SSL-VPN(Secure Sockets Layer VPN)は、WebブラウザやVPNクライアントから443番ポート(HTTPS通信と同じポート)を使ってVPN接続する方式です。HTTPSが通れるネットワーク環境であれば動作することが多く、専用のVPNクライアントのインストールを省略できるケースもあることから、2000年代以降に広く普及しました。
従来型のIPsec-VPNと比較したSSL-VPNの特徴は次の通りです。
| 項目 | SSL-VPN | IPsec-VPN |
|---|---|---|
| 使用ポート | 443(HTTPS) | UDP 500/4500等 |
| ファイアウォール通過 | しやすい(443番は多くの環境で許可) | ポート制限がある環境では困難なことも |
| 専用クライアント | 不要なケースあり(ブラウザベース) | 通常は専用クライアントが必要 |
| 歴史 | 2000年代以降に普及 | 1990年代から存在 |
廃止・EOLが進む背景:脆弱性の多発とセキュリティ動向
主要ベンダーの動向:Fortinet(FortiGate)の事例
SSL-VPN廃止の動向として最も注目を集めているのが、Fortinet社のFortiGateにおけるSSL-VPNのサポート終了です。
公開されている情報(2025年時点)によると:
- Fortinetは2025年4月に発表したFortiOS 7.6.3以降で、SSL-VPNのトンネルモードを廃止することを正式に表明しました
- 既存のSSL-VPN利用可能バージョンの技術サポート終了期限については、一度は2026年5月頃とされていましたが、2026年3月にFortinetが対応期限を1年延長する旨を発表しました
- FortinetはSSL-VPN廃止後の移行先として「IPsec-VPN(短期的移行)」および「ZTNA(Zero Trust Network Access、長期的目標)」を推奨しています
ただし、ベンダーの発表は変更される場合があります。最新の公式情報はFortinet公式サイトおよびパートナー企業に直接確認することを強くお勧めします。
なぜSSL-VPNの廃止が進むのか
SSL-VPNに限らず、VPN全体で脆弱性の報告数は近年増加傾向にあります。特にSSL-VPNに関連するCVE(共通脆弱性識別子)について、複数のベンダー製品で「認証前のリモートコード実行を可能にする」「境界外書き込みによるシステムへの侵害が可能」などの重大な脆弱性が報告されてきました。
代表的な事例として以下が知られています(いずれもFortinet製品に関連するもの、既にパッチ提供済み):
- CVE-2018-13379:認証前に任意のファイルを読み取れる脆弱性
- CVE-2022-42475:ヒープベースのバッファオーバーフロー
- CVE-2024-21762:境界外書き込みによるリモートコード実行の可能性
これらの脆弱性が公表されたにもかかわらずパッチ適用が遅れた組織では、実際に侵害被害が報告されており、IPAや警察庁の注意喚起でも取り上げられています。
Fortinet自身も、IPsecと比較してSSL-VPNの方が短期間に多くの重大脆弱性が発生していたことを廃止理由の一つとして説明しています。
移行先の主な選択肢と比較
SSL-VPNを廃止・終了した後の主な移行先として、以下の3つが挙げられます。
選択肢1:IPsec-VPN
SSL-VPNよりも歴史が長く、RFC(インターネット標準)として定義されたVPNプロトコルです。Fortinetも短期的な移行先として推奨しています。
特徴:
- IKEv2(Internet Key Exchange v2)を基盤に、AES-256等の最新暗号スイートが利用可能
- FIPS(連邦情報処理標準)やCommon Criteria等の認証を取得した製品も多い
- モバイル端末との相性が良い(IKEv2+EAP等)
課題:
- 社内にIPsecに対応したVPN機器が必要
- ファイアウォールのポート開放(UDP 500/4500等)が必要
- 機器の導入・設定に専門知識が求められる場合がある
選択肢2:ZTNA(Zero Trust Network Access)
「すべての通信は信頼しない」というゼロトラストの考え方に基づき、ユーザー・デバイス・アプリケーション単位でアクセスを制御する方式です。Fortinetが長期的目標として推奨しています。
特徴:
- VPNのように「ネットワーク全体への接続」ではなく「特定アプリケーションへのアクセス」を制御
- アクセスのたびに認証・検証を行うため、侵害された端末からの横展開を防ぎやすい
- クラウドサービスとの親和性が高い
課題:
- 導入・設計の複雑さが高く、中小企業には専門知識・コストの面でハードルが高いことがある
- 既存のアプリケーション・インフラとの統合に工数が必要なケースがある
選択肢3:クラウド型リモートアクセスVPN
VPNサーバーをクラウド上に置き、社内設置機器がクラウドにアウトバウンド接続することでリモートアクセストンネルを確立する方式です。
特徴:
- 機器を社内LANに追加するだけで導入可能(既存ルーター設定変更不要)
- 社内ネットワークのポート開放が不要(外部からの直接攻撃の入口をなくせる)
- IT担当者が少ない中小企業でも運用しやすい
- 固定IPアドレス不要
課題:
- クラウドサービス自体の信頼性・セキュリティに依存する
- 月額のサービス費用が継続的に発生する
3つの選択肢の比較表
| 項目 | IPsec-VPN | ZTNA | クラウド型VPN |
|---|---|---|---|
| 外部公開(ポート開放) | 必要 | 不要なことが多い | 不要 |
| 既存機器の設定変更 | 必要(ルーター設定等) | 構成による | 不要なことが多い |
| 導入の複雑さ | 中 | 高 | 低〜中 |
| 中小企業への適合性 | 中 | 低〜中 | 高 |
| 固定IP | 必要なことが多い | サービスによる | 不要なことが多い |
| コスト感 | 機器コスト+設定コスト | 高め(設計・導入コスト) | 月額費用 |
| 拡張性 | 機器性能に依存 | 高い | サービスに依存 |
移行スケジュールの立て方:3つのステップ
SSL-VPNからの移行は「急ぐ必要があるが、性急にやると業務影響が出る」という難しさがあります。以下のステップで計画的に進めることを推奨します。
ステップ1:現状把握(〜2週間)
- 利用中のSSL-VPN機器・バージョンの確認:機器名・ファームウェアバージョンを把握し、メーカーのサポートサイトでEOL(End of Life)・EOS(End of Support)の予定を確認する
- 利用ユーザー数・利用用途の整理:誰がどの目的でリモートアクセスを使っているかを整理する
- 接続先の社内システムのリストアップ:VPN経由でアクセスされているシステム・サーバーを把握する
ステップ2:移行先の選定(〜1ヵ月)
- 前述の3つの選択肢(IPsec、ZTNA、クラウド型VPN)を自社の規模・IT体制・コストに照らして比較する
- 候補サービス・機器を2〜3つに絞り、評価基準を設定する(セキュリティ要件、操作性、サポート体制、コスト等)
- 可能であれば試用期間(トライアル)を設けて実環境でテストする
ステップ3:移行実施・並行運用(〜3ヵ月)
- 並行運用期間を設ける:新旧のリモートアクセス環境を一定期間並行して運用し、問題がないことを確認する
- ユーザートレーニング:操作方法が変わる場合は事前に説明・マニュアルを用意する
- 段階的な移行:全ユーザーを一度に切り替えるのではなく、一部のユーザーから試験移行する
- 旧環境の停止:新環境が安定したことを確認してから旧環境を停止する
移行時の注意点
- ベンダーのサポート終了期限は変更される場合があるため、定期的に公式情報を確認する
- 移行作業中はリモートアクセスが一時的に利用できない時間帯が発生する可能性があるため、業務への影響が少ない時間帯(夜間・週末)を選ぶ
- 万が一の切り戻し手順も事前に準備しておく
だれリモVPNのご紹介:SSL-VPN廃止後のリモートアクセスの選択肢として
「SSL-VPNからの移行を考えているが、IPsecの設定変更は難しい」「ZTNAは自社の規模と予算には合わない」という中小企業の担当者に向けて、「だれリモVPN」(ロリポップ!固定IPアクセスが提供) をご紹介します。
専用機器「FLINT plus」を社内LANのルーターに挿すだけで利用できるクラウド型リモートアクセスVPNです。
- 既存ルーター設定変更不要(VPN非対応ルーターでもOK)
- 固定IPアドレス取得不要
- 社内ネットワークの外部公開(ポート開放)なし
- 通信はAES-256/SHA-384で暗号化、ノーログ運用
- 二重VPN構成でより高い安全性を実現
- 初期費用0円・初月0円・契約期間なしでお試し可能
- 最短2日で導入開始
IT専任者がいない中小企業でも、複雑な設定や専門知識なしに導入できます。SSL-VPN廃止に伴う移行先の一つとして検討いただけます。
よくある質問(FAQ)
Q1. 使用中のSSL-VPN製品がまだサポート終了していない場合、移行を急ぐ必要はありますか?
サポートが続いている間はパッチ適用等の対応で利用継続が可能ですが、移行計画は早めに立てることが推奨されます。EOL/EOSの期限が近づいてから慌てて移行すると、業務影響が大きくなったり適切な選定ができなかったりするリスクがあります。少なくとも「現在の機器のEOL情報を把握する」ことから始めましょう。
Q2. Fortinet以外のSSL-VPN製品も廃止になるのですか?
本記事執筆時点(2025年〜2026年)では、SSL-VPN廃止を明言・実施しているのはFortinetが最も注目されています。ただし、他ベンダーも脆弱性対応の観点からSSL-VPNの見直しを進める可能性はあります。利用中の機器メーカーの公式情報を定期的に確認することをお勧めします。
Q3. IPsec-VPNへの移行は自社で対応できますか?
IPsecの設定は、ルーターやVPN機器の種類によって手順が異なり、専門知識が必要なケースがあります。IT担当者がいない場合は、保守契約先のベンダーやITサポート業者に相談することを検討してください。一方、クラウド型VPNのような機器設置のみで動作する製品であれば、自社での導入も現実的です。
Q4. ZTNAはどのような規模の企業に向いていますか?
ZTNAはクラウドサービスの利用比率が高い企業、社内に複数のシステムが複雑に存在する企業、セキュリティ要件が特に厳しい業種(金融・医療等)に向いていることが多いです。一方、社員数が数十名以下でIT専任者がいない企業では、導入・運用コストがZTNAのメリットを上回るケースもあるため、クラウド型VPNから始めることが現実的な場合も多いです。
Q5. 移行中の一時的なセキュリティリスクを下げるには?
移行期間中に旧システムと新システムを並行運用する際は、旧SSL-VPNのファームウェアを最新にしておく、利用ユーザーを必要最小限に絞る、不審なアクセスのログ監視を強化するといった対応が有効です。並行期間を長くしすぎず、計画的に新環境への一本化を進めることが重要です。
まとめ
- Fortinet(FortiGate)はSSL-VPNのトンネルモードを廃止する方針を表明しており、最新のFortiOS(7.6.3以降)では既にSSL-VPNが搭載されていない
- 廃止の背景は「脆弱性の多発」「セキュリティ上の構造的課題」であり、Fortinetの発表を機にSSL-VPNからの移行が業界全体のトレンドになりつつある
- 移行先の主な選択肢はIPsec-VPN(短期的移行)、ZTNA(長期的目標)、クラウド型VPNの3つ
- 移行スケジュールは「現状把握→移行先選定→並行運用→旧環境停止」の3ステップで計画的に進める
- 中小企業には、設定変更不要・外部公開なしで導入できるクラウド型VPNが現実的な選択肢の一つとなる
だれリモVPNでSSL-VPNからの移行を検討する
「だれリモVPN」 は機器設置だけで使えるクラウド型リモートアクセスVPNです。SSL-VPN廃止・サポート終了後の移行先として、専門知識が少ない環境でも導入しやすい選択肢を提供しています。
初期費用0円・初月0円・契約期間なしでお試しいただけます。最短2日で導入開始が可能です。



