株式会社アシュアードは11月12日、VPN機器のセキュリティ対策に関する調査結果を発表した。
同調査は、従業員数が1,000名以上でVPN機器を利用している会社に勤める情報システム・セキュリティ担当者300名を対象に、VPN機器のセキュリティ対策についての調査を実施した結果をまとめたもの。
同調査で、利用しているVPN機器のファームウェアやOSのバージョン情報について尋ねたところ、「正確には把握できていない」と回答した担当者は48.3%となった。同調査では、資産情報(インベントリ)の管理が追いついておらず、脆弱性発生時に対応すべき機器を迅速に特定できないリスクを示していると指摘している。
収集した脆弱性情報と、社内の「どのVPN機器の、どのバージョン」が該当するかを特定する速さについて尋ねたところ、「数日以内」が43.3%、「1週間以上」が8.7%であった。さらに11.3%は「特定するための仕組みがない、またはできていない」と回答しており、合計63.3%が機器の特定に時間を要している、または特定できず脆弱性を放置していることが明らかになった。
重大なVPN機器の脆弱性が発見された際に、対応機器の特定から影響調査に工数がかかり対応が遅れた経験を尋ねたところ、「頻繁にある」が10.0%、「時々ある」が37.3%と、約半数となる47.3%が課題を感じていることが判明した。 VPN機器の脆弱性対策関しては、約8割が課題を抱えており、「対応するための人手・リソース不足」が42.7%で最多となり、「脆弱性情報が多すぎて優先順位がつけられない」が34.0%で続いている。
ランサムウェア被害の増加・報道を受け、自社のセキュリティ対策強化の一環として、VPN機器の脆弱性対策の見直しを行う予定について尋ねたところ、「すでに具体的な対策強化を決定した」が29.3%、「対策強化を検討している」が49.0%となり、約8割となる78.3%で対策の強化に前向きな姿勢を示していることが判明した。
アシュアード yamory事業部 プロダクトオーナーの鈴木康弘氏は「今回の調査結果から、VPN機器のセキュリティ対策において、「資産情報の不備による対応機器の特定遅延」と「人手不足による対策工数確保の難しさ」という二重の課題があることが明らかになりました。特に、VPN機器は外部からのアクセス経路として標的になりやすく、ランサムウェア被害の増加を受け、対策強化の必要性を認識している企業は多いものの、実務が追いついていない状況です。」とコメントしている。
