はじめに:なぜ今、“VPNの終わり”が議論されているのか
リモートワークが「当たり前」になったいま、企業ネットワークの入り口として長年君臨してきたVPN(仮想プライベートネットワーク)。だが、今その役割が劇的に変わろうとしている。なぜか。端的に言えば、セキュリティのリスクが“入口”に集中しすぎたからだ。
この潮目のなかで、Fortinet が 2024〜25 年にかけて発表した「SSL-VPNトンネルモード廃止」のアナウンスは、企業にとって“これからのリモートアクセス”を再考する起点となる。この記事では、単なる仕様変更としてではなく、企業運用・経営判断という観点から“問うべき”内容として整理する。
背景:FortiOS 7.6.3 で廃止された「SSL-VPNトンネルモード」 ― 何が変わったか
公表された内容によれば、FortiOS 7.6.3 以降、対象となる多くの FortiGate モデルで「SSL-VPN トンネルモード」がサポート対象外となる。例として、FortiGate 80F, 100F, 120G, 200E/200F/200G などが挙げられており、また 60F や 90G といった“ローエンド”モデルでも同機能が利用不可となる旨のリストが出されている。
この変更は、VPN 装置として FortiGate を活用してきた企業にとって、単なる“バージョンアップ時の仕様注意”を超えた影響を持つ。なぜなら “SSL-VPN トンネルモード” が多くの企業で「リモートアクセス」の主要手段として使われてきたからだ。
影響範囲:対象モデルと企業が直面する課題
対象とされるモデル(例:80F/100F など)は、多くの中小企業や支店展開企業で採用されてきた“実用的価格帯”のモデルである。つまり、
- リモートアクセスをSSL-VPNで運用してきた企業
- その拠点/支店に該当モデルを設置している企業
は、そのままでは「将来のバージョンアップ」ができない/対応する機能が失われる可能性がある。
結果として考えられる課題としては以下: - ソフトウェア保守が止まる=セキュリティリスク増大
- 機器更新=予算確保が必須、新たな導入検討が必要
- 運用方式の見直し:SSL-VPNではなく、IP-Sec/ZTNA 等への移行が迫られる
このように“単なる機能廃止”ではなく、運用の根幹を揺るがすインパクトがある。
この変更が企業に突きつける “問い”
今回のFortiOSの仕様変更を、単なる「機能廃止」や「構成変更」として片付けるのは危険です。
本質的には、こう問われています。
「あなたのVPN運用は2020年で止まっていませんか?」
「いまだに“ネットワークの出入口に穴を開ける”モデルを前提にしていませんか?」
SSL-VPNは、利便性・導入しやすさという観点では大きく普及しました。しかし同時に、最も多く脆弱性の標的になったリモートアクセスポイントでもあります。
“VPNは当然あるべき”ではなく、“VPNという仕組みそのものを設計から問い直す段階”に来ている。それが、Fortinetのこの発表の裏に見える方向性です。
導入シーン別:あなたの会社が直面する“現実”3選
1. リモート営業中心の中小企業
社外ネットワークから営業支援システムへVPN接続する。
従業員は営業車やカフェからBYODノートでアクセス。
SSL-VPNトンネルモードが消えることで、彼らは“出口”を失う。
- 課題: FortiClientのライセンス管理と認証サーバの構築コスト。
- 判断: クライアント端末が散在している企業は、FortiClient ZTNAよりCloud型ZTNA(Cloudflareなど)が現実的。
ユーザー単位課金でBYODにも対応しやすく、運用負荷も最小化できる。
2. 地方製造業:本社-支店をVPNで結ぶ企業
本社はFortiGate 200E、支店は80F。
SSL-VPNで本社サーバへCADデータを送受信。
アップデートで支店側のVPNが死ねば、生産が即停止する。
- 課題: 機器更新までのリードタイム。
- 判断: 本社-支店間はIPsec固定ルートへ移行し、
リモートワーカーにはZTNAを並行導入。
“VPNとZTNAのハイブリッド期”を経て、
徐々にVPN側をフェードアウトするのが理想。
3. 医療・教育機関:認証の壁が高い組織
機微情報を扱うためVPN必須。
しかしSSL-VPN停止=遠隔診療・授業配信が断絶。
とはいえクラウドZTNAは規制審査が厳しい。
- 課題: 法的制約とオンプレ依存。
- 判断: FortiClient ZTNAを先行試験導入。
認証をAD/LDAP連携へ移行し、
次年度以降に段階的クラウド化を検討する。
企業が取り得る対応戦略(4つの選択肢)
| 選択肢 | 内容 | メリット | リスク・限界 |
|---|---|---|---|
| ① FortiOSアップデートを見送る | 7.6.3以上に上げず延命 | 現行運用維持 | 将来的に“攻撃対象”確定 |
| ② FortiGate機種ごと買い替え | 上位モデルに移行 | FortiVPN継続可能 | 投資額・リードタイム重 |
| ③ FortiClient ZTNA / IPsecへ設計移行 | Fortinet純系の“新世代”へ | Fortinetの推奨ルート | ID管理設計が必須に |
| ④ Cloud型ZTNA / SASEへ脱VPN | Cloudflare / Prisma 等 | “VPNという前提”ごと捨てられる | 切替判断に経営レベルの理解が要る |
FortiClient ZTNA vs Cloudflare ZTNA ― 実装・運用・コストで比較
| 項目 | FortiClient ZTNA | Cloudflare ZTNA (SASE) |
|---|---|---|
| 導入形態 | FortiGateと統合(オンプレ主体) | 完全クラウド(エージェント方式) |
| ID管理 | LDAP / Azure AD連携必須 | Google / Microsoft / Oktaなど即統合可 |
| 初期構築コスト | FortiGate再設定+AD統合で高め | 設定簡素・初期費用低 |
| 運用負荷 | FWポリシー設計が複雑 | WebUIで統一管理可能 |
| 可用性 | 機器依存(単一障害点) | グローバルエッジで冗長化済み |
| 課金体系 | デバイス・拠点単位 | ID単位(少人数企業ほど有利) |
| 強み | Fortinet環境との親和性 | 導入スピードと運用性 |
| 弱み | ID管理・保守要員が必要 | 統制・監査要件が厳しい業界では調整要 |
中小企業にとって現実的な判断軸
大企業と違い「長期IT投資戦略を並列に抱えている」わけではないのが、99%の中小〜地方企業です。
その前提で “合理的な順番” はこうなります。
- ① 今VPNを止めると業務が死ぬ → 一時しのぎとしてアップデートを見送る
- ② その上で、同時に “脱VPN前提の次のプラン” を並行で検討開始する
- ③ Fortinetにしがみつくのではなく、“VPNはいつ消されてもおかしくない”を前提とする
重要なのは、
FortiGateに機能を「残してもらえるかどうか」に依存する発想から脱出すること。
ここを間違えると「遅れた人から順に技術的に詰む」フェーズへ移行してしまいます。
結論:これは“VPNの仕様変更”ではなく“脱VPNへの公式カウントダウン”である
Fortinetはもうはっきりと、“VPNゲートウェイ”としてのFortiGateを終わらせにかかっています。
「Zerotrust Readyのエッジデバイス」――それがFortinetが見ている次の10年の世界です。
この変更は、
設定やUIの問題ではなく、
“あなたの会社のリモートアクセス設計思想は、ゼロトラストへ移行する準備ができているか?”
という問いかけです。
これは“次回検討でよい話”ではなく“今すぐ議論を開始すべき案件”です。
この問いに“今”答えを出さない企業から順に、
次の脆弱性騒動の当事者になっていく現実が、もう始まっています。
