6割超の企業でVPN機器の脆弱性を「即時特定できない」、yamory調査

　株式会社アシュアードが運営する脆弱性管理クラウド「yamory」（ヤモリー）は11月12日、企業の情報システム・セキュリティ担当者に対して実施したVPN機器のセキュリティ対策に関する調査の結果を発表した。

　同調査は、従業員数1000人以上でVPN機器を利用している企業の情報システム・セキュリティ担当者を対象に、2025年11月にオンラインで調査を実施したもの。有効回答数は300。

約半数がVPN機器のバージョン情報を「正確には把握していない」

　利用中のVPN機器について、現在のファームウェアやOSのバージョン情報を把握できているかたずねたところ、「正確に把握している」が51.7％、「正確には把握していない」が48.3％だった。

「利用中のすべてのVPN機器について、現在のファームウェアやOSのバージョン情報を把握できていますか」

脆弱性発覚時、6割超が対応機器の即時特定ができていない

　脆弱性発生時、収集した脆弱性情報と社内の「どのVPN機器のどのバージョン」が該当するかを特定するまでにかかる日数についてたずねたところ、「1日以内」が36.7％、「数日以内」が43.3％、「1週間以上」が8.7％、「特定できない」が11.3％だった。

「収集した脆弱性情報と、社内の「どのVPNの、どのバージョン」が該当するかを、どれくらいの速さで特定できていますか。（脆弱性公開からの日数）」

半数が「対応遅延の経験あり」。主な課題は「人手・リソース不足」

　重大なVPN機器の脆弱性が発見された際、対応機器の特定から影響調査に工数がかかり対応が遅れた経験があるかたずねたところ、「頻繁にある」が10％、「時々ある」が37.3％だった。「ほとんどない」は33％、「全くない」は8.3％、「わからない」は11.3％だった。

「重大なVPN機器の脆弱性が発見された際に、対応機器の特定から影響調査に工数がかかり、対応が遅れた経験はありますか。」

　VPN機器の脆弱性対策を講じるにあたり、課題となっている点についてたずねたところ、「対応するための人手・リソースが不足している」が最多で42.7％、次いで「脆弱性情報が多すぎて、どれに対応すべきか優先順位がつけられない」が34％、「対応コスト（機器入れ替えなどの費用）がネックになっている」が31.7％、「導入台数が多く、全てを把握しきれない」が24.3％、「経営層・他部門のリスク意識が低い」が10.3となり、78％で何らかの課題があることが分かった。

「VPN機器の脆弱性対策において、課題となっている点を教えてください。（複数回答）」

約8割がVPN機器対策の強化を決定・検討

　昨今、大企業でもランサムウェア被害が増加している。こうしたことを受け、自社のセキュリティ対策の一環としてVPN機器の脆弱性対策の見直しを行う予定があるかたずねたところ、「対策強化を決定済」が29.3％、「対策強化を検討」が49.0％、「見直しはしていないが関心あり」が13％、「特に何もしていない」が8.7％だった。

「昨今ランサムウェア被害が多く発生・報道されていますが、自社のセキュリティ対策強化の一環として　、VPN機器の脆弱性対策の見直しを行う予定がありますか。」

　yamoryのプロダクトオーナー鈴木康弘氏は、「VPN機器は外部からのアクセス経路として標的になりやすい」とした上で、調査の結果を受け、VPN機器のセキュリティ対策において「資産情報の不備による対応機器の特定遅延」と「人手不足による対策工数確保の難しさ」の2つの課題があることを指摘した。