マクニカ、神奈川県警察と共同で神奈川県の企業に対して脆弱性リスクの情報提供を実施
- 2023/09/11 10:00
- SecurityInsight
マクニカは9月7日、神奈川県警察と共同で、神奈川県の企業における外部公開資産を狙ったセキュリティインシデント防止に関する取り組みを行ったことを発表した。具体的な取り組みの内容は以下のとおり。
1.マクニカによる調査
自社で提供している「Attack Surface Managementサービス」のナレッジを活用し、日本国内に存在する特定のVPN製品の利用企業調査を実施。その後、各VPN機器のバージョン特定および脆弱性有無の判定を行い、対象製品を保有している神奈川県下の企業・組織を洗い出した。
2.神奈川県警察から企業への連絡
マクニカの調査結果を元に、神奈川県警察から脆弱なVPN製品を保有している企業に1社ずつ連絡。その際、情報提供と注意喚起を行うとともに、可能な限り対処状況の確認を実施した。
この取り組みを通して得た各社の状況は以下のとおり。
今回の注意喚起連絡時点では、12%の企業は脆弱性対応のためのバージョンアップの必要性を認識していない状態だったが、58%の企業は必要性を認識しており、すでに対応済みか順次対応中だった。
また、一部の企業では何らかの理由でバージョンアップが滞っている状態だったが、主な理由は以下のとおりだった。
・管理ベンダーと機器のバージョンアップを含む保守契約を結んでいたと認識していたが、改めて確認したところバージョンアップ作業は契約対象外だった。
・新型コロナウイルスの影響で遠方のベンダーが対応できていなかった。
・ベンダー、社内担当者ともに対応を失念していた。
・所管の省庁からの指導もあり、順次対応を行っていたが、多忙のため更新が滞っていた。
・保守契約があったが、導入後一度も更新が行われていなかった。
・社内調査の結果、関連会社が使用している機器と判明したため対応を指示した。今回の注意喚起を機にさらに調査を行ったところ、管理不十分な機器が他にも見つかった。
・バージョンアップに費用がかかるため、そのまま利用している。他社もそのような対応であると認識していた。
今回の取り組みにより、関連会社も含めてバージョンアップ未対応の機器が存在しないかの再点検や、バージョンアップ対応が自社の対応範囲なのか、委託先との保守契約の範囲に含まれるかの確認は、大丈夫だろうとの思い込みではなく、実際に確認を行うことが改めて重要であることが分かった。