数年前、あるVPN製品において約900件もの認証情報が漏洩するというインシデントが発生しました。 当時は新型コロナウイルスの影響により、急速にテレワークが普及していた時期。VPNの利用が急増した中でのニュースに、ヒヤリとした方も多かったのではないでしょうか。
このインシデントの背景には、すでに 1年以上前にリリースされていた修正パッチの未適用 という事実がありました。
メーカーやセキュリティ機関からも繰り返し注意喚起がされていたにもかかわらず、脆弱性は放置されていたのです。
このようなインシデントは、単に「怠慢だった」と断じられるものではありません。実際に挙げられた原因には以下のようなものがあります:
いずれも、技術的には解決可能なはず の課題です。しかし、業務環境の急変や、IT部門の人手不足といった「現場のリアル」が、セキュリティ施策を後回しにしてしまう構造を生み出していました。
テレワークは一過性のものではなく、多くの企業にとって定着した働き方の一部となりました。
その中で、VPNや社外アクセスの安全性をどう担保していくかは、今なお継続的な課題です。
脆弱性管理は、単なる“セキュリティ対策”ではありません。
快適な業務環境を守るための「攻めの守り」として、組織全体で計画的に、効率よく行うべき業務 です。
GRCSでは、脆弱性およびインシデント管理に特化したクラウドアプリケーション「CSIRT MT.mss」を提供しています。
このツールは以下のような課題を解決します:
限られたリソースの中で最大の成果を得るために、セキュリティオペレーションの自動化と省力化 が求められる今、まさに必要なツールといえるでしょう。
VPNを使っているから大丈夫、あるいはVPNに意味がない──そんな両極端な思考に陥ることは危険です。
重要なのは、「信頼しないこと」を前提とした ゼロトラストの視点 を持ちながら、自社の現状やリソースに即したセキュリティ体制を構築していくことです。
GRCSでは、各企業のテレワーク・セキュリティの実情に応じた導入支援サービスもご用意しています。
ぜひお気軽にご相談ください。