マクニカと神奈川県警察、神奈川県の企業に脆弱性リスク情報を提供

今回は「マクニカと神奈川県警察、神奈川県の企業に脆弱性リスク情報を提供」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　マクニカは、外部に公開されている緊急性の高い脆弱性を持つ特定のVPN製品の調査を行い、神奈川県警察を通じて神奈川県の対象企業に情報提供と注意喚起を行ったと発表した。

　具体的には、マクニカが提供している「Attack Surface Managementサービス」のナレッジを活用し、国内に存在する特定のVPN製品の利用企業を調査した。その後、2～3月の期間に各VPN機器のバージョンの特定および脆弱性の有無の判定を行い、対象製品を保有している神奈川県下の100社以上の企業・組織を洗い出した。

　さらにマクニカの調査結果から3～7月の期間に、神奈川県警察から脆弱なVPN製品を保有している企業に個別に連絡した。その際、情報提供と注意喚起を行うとともに、可能な限り対処状況の確認を実施したという。

　マクニカによれば、今回の取り組みにより、調査対象のVPN機器に対してさまざまな理由で対処が進んでいない実態を把握できたとする。特に関連会社も含めてバージョンアップ未対応の機器が存在しないかの再点検や、バージョンアップ対応が自社の対応範囲なのか、委託先との保守契約の範囲に含まれるかの確認は、「大丈夫だろう」との思い込みではなく、実際に確認を行うことが改めて重要だと分かったとしている。

　今回の注意喚起連絡の時点では、12％の企業が脆弱性対応を目的としたバージョンアップの必要性を認識していない状態だった。しかし、58％の企業は必要性を認識していた。

　通知時点での対応状況は、「対応済・対応中」が53％と過半数だった。また、機器の管理主体は「自主管理」との回答が約4割だったが、「不明」の回答が2割を超えた。

　機器のバージョンアップが滞っている理由として、「管理ベンダーと機器のバージョンアップを含む保守契約を結んでいたと認識していたが、改めて確認したところバージョンアップ作業は契約対象外だった」「ベンダー、社内担当者ともに対応を失念していた」「新型コロナウイルスの影響で遠方のベンダーが対応できていなかった」「バージョンアップに費用がかかるため、そのまま利用している。他社もそのような対応であると認識していた」などが挙げられた。