大企業の“6割超”がVPN機器の脆弱性を即時特定できず 調査で明らかに：セキュリティニュースアラート

アシュアードは脆弱性管理クラウド「yamory」によるVPN機器のセキュリティ対策実態調査結果を公表した。VPN機器の資産情報不足や人手不足が特定遅延を招き、半数近くが対応遅延を経験している実態が明らかにされている。

[後藤大地，ITmedia]

　アシュアードは2025年11月12日、同社が提供する脆弱（ぜいじゃく）性管理クラウド「yamory」によるVPN機器のセキュリティ対策実態調査の結果を公表した。従業員数1000人以上の企業に所属する情報システム、セキュリティ担当者300人を対象に実施された同調査では、ランサムウェアの主要な侵入口となり得るVPN機器のセキュリティ対策に、深刻なボトルネックがある実情が示されている。

大企業の6割超がVPN機器の脆弱性を即時特定できず　ランサムウェア侵入のボトルネックに

　同調査の結果は以下の通りだ。

　利用中のVPN機器のファームウェアやOSのバージョンを「正確には把握していない」担当者が48.3％いることが分かった。資産情報が十分整備されていない状態で脆弱性が公開された場合、対象機器の把握に支障が出る可能性がある。

　収集した脆弱性情報と社内のVPN機器を照合するスピードについては、「1日以内」と回答した割合が36.7％にとどまった。「数日以内」が43.3％、「1週間以上」が8.7％、「特定不能」が11.3％で、合計63.3％が迅速な特定ができていない状況にあることが明らかになった。VPN機器は外部からの接続口となる機器であり、特定対応が遅い状態が侵入を許す温床となる危険性が示されている。

　VPN機器の重大な脆弱性公開時の対応遅延経験については、「頻繁にある」が10.0％、「時々ある」が37.3％であり、合計47.3％が遅れを認識している。「対応するための人手・リソース不足」（42.7％）、「脆弱性情報が多すぎて優先順位がつけられない」（34.0％）、「対応コスト（機器入れ替えなどの費用）がネックになっている」（31.7％）、「導入台数が多く、全てを把握しきれない」（24.3％）などが主な課題として挙がっている。運用体制に起因する制約が、対処の速度低下に直結している構造が示されている。

　ランサムウェア被害の報道が相次ぐ中、VPN機器のセキュリティ対策強化の決定・検討についても尋ねている。「対策強化を決定済」（29.3％）、「対策強化を検討中」（49.0％）と回答しており、約8割が対策の強化に前向きな姿勢を示している。「見直しはしていないが関心あり」は13.0％で、危機意識は広がっている。

　アシュアードの鈴木康弘氏（yamory事業部 プロダクトオーナー）は、資産情報の不備によって対象機器の特定に遅れが生じやすい点や、人手不足によって対策の工数確保が難しい点が突出した課題だと述べている。脆弱性公開から悪用までの期間が短縮されつつある現状を踏まえ、公開情報への即応体制が必要だとの見解を示している。