ランサムウェアの主要な侵入口「VPN機器」のセキュリティ対策実態調査
Visional
~大企業の6割超がVPN機器の脆弱性を即時特定できず、攻撃スピードに間に合わない可能性~
株式会社アシュアード(本社:東京都渋谷区、代表取締役社長:大森 厚志)が運営する、脆弱性管理クラウド「yamory(ヤモリー)」(
https://yamory.io/ 以下「yamory」)は、従業員数1000名以上の企業に勤務する情報システム・セキュリティ担当者300名を対象に、VPN機器のセキュリティ対策に関する調査を実施しました。その結果、約半数(48.3%)がVPN機器のバージョンを正確に把握できておらず、脆弱性が発見された際に、対応機器の特定に時間を要する、または特定できない企業が6割超(63.3%)に上るなど、ランサムウェアの主要な侵入経路となり得る場所で、深刻なボトルネックがあることが明らかになりました。
※1 本調査を引用される際には、「yamory調べ」と必ずご記載ください。
<調査結果サマリー>
・約半数がVPN機器のバージョン情報を「正確には把握していない」
・脆弱性発覚時、6割超が対応機器の即時特定ができていない
・約半数が「対応遅延の経験あり」。主な課題は「人手・リソース不足」
・ランサムウェア被害増加を受け、約8割がVPN機器対策の強化を決定・検討
ランサムウェア被害拡大の背景:狙われる「VPN機器の脆弱性」
近年、企業におけるランサムウェア被害は高水準で推移しており、直近でも様々な被害が発生し、連日報道されています。特に、警察庁の発表(※2)でも、ランサムウェアの主な感染経路として、脆弱性を有するVPN機器等からの侵入が多くを占めると指摘されており、VPN機器は、組織のネットワークへの侵入を許す「主要な入り口」として狙われやすい状況にあります。
このような背景を踏まえ、yamoryは、大企業の情報システム・セキュリティ担当者を対象に、VPN機器の脆弱性対策に関する調査を実施しました。
※2 警察庁サイバー警察局「令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について」
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R7kami/R07_kami_cyber_jyosei.pdf
[画像1:
https://prcdn.freetls.fastly.net/release_image/34075/748/34075-748-5b2862a94b6484e78c46ca2b6af9e4f4-1920x1080.jpg?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
利用しているVPN機器のファームウェアやOSのバージョン情報について、「正確には把握できていない」と回答した担当者が48.3%に上りました。これは、資産情報(インベントリ)の管理が追いついておらず、脆弱性発生時に対応すべき機器を迅速に特定できないリスクを示しています。
[画像2:
https://prcdn.freetls.fastly.net/release_image/34075/748/34075-748-34371c205c0a206a27e0217a304930f7-1920x1080.jpg?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
収集した脆弱性情報と、社内の「どのVPN機器の、どのバージョン」が該当するかを特定する速さについて尋ねたところ、43.3%が「数日以内」、8.7%が「1週間以上」かかると回答、また11.3%は「特定するための仕組みがない、またはできていない」と回答しました。合計で63.3%が機器の特定に時間を要している、または特定できず脆弱性を放置していることが明らかになり、ランサムウェアの主要な入り口として攻撃しやすい状況が見受けられます。
[画像3:
https://prcdn.freetls.fastly.net/release_image/34075/748/34075-748-1c36cf34b4fc1f6de5b6100446cf3745-1920x1080.jpg?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
[画像4:
https://prcdn.freetls.fastly.net/release_image/34075/748/34075-748-efc8924476dba210f2f78fea85a49447-1920x1080.jpg?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
重大なVPN機器の脆弱性が発見された際に、対応機器の特定から影響調査に工数がかかり、対応が遅れた経験について、「頻繁にある」(10.0%)、「時々ある」(37.3%)と、約半数(47.3%)が課題を感じていることが分かりました。 VPN機器の脆弱性対策関しては、約8割が課題を抱えており、「対応するための人手・リソース不足」(42.7%)が最も多く、次いで「脆弱性情報が多すぎて優先順位がつけられない」(34.0%)となり、リソースの制約が対策の遅れに直結している実態が浮き彫りになりました。
[画像5:
https://prcdn.freetls.fastly.net/release_image/34075/748/34075-748-cd7ba7be9d709a951e66b36fbbc38bb7-1920x1080.jpg?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
昨今のランサムウェア被害の増加・報道を受け、自社のセキュリティ対策強化の一環として、VPN機器の脆弱性対策の見直しを行う予定について尋ねたところ、「すでに具体的な対策強化を決定した」(29.3%)、「対策強化を検討している」(49.0%)を合わせ、約8割(78.3%)が対策の強化に前向きな姿勢を示しています。
株式会社アシュアード yamory事業部 プロダクトオーナー 鈴木 康弘 コメント
今回の調査結果から、VPN機器のセキュリティ対策において、「資産情報の不備による対応機器の特定遅延」と「人手不足による対策工数確保の難しさ」という二重の課題があることが明らかになりました。特に、VPN機器は外部からのアクセス経路として標的になりやすく、ランサムウェア被害の増加を受け、対策強化の必要性を認識している企業は多いものの、実務が追いついていない状況です。
昨今、脆弱性情報が公開されてから悪用されるまでの期間が短縮されており、公開された脆弱性情報に迅速に対応することが、ネットワーク侵入を防御する上で極めて重要です。脆弱性の特定に数日以上を要する企業が半数以上に上る現状は、昨今の攻撃スピードとの間に大きなギャップが生まれています。
yamoryはこうした課題に対し、利用しているVPN機器を含むIT資産のバージョン情報と、最新の脆弱性情報を自動で紐づけ、対応すべき機器と脆弱性を自動で可視化します。これにより、手作業による資産情報の突き合わせや、膨大な脆弱性情報の中から「いま、自社が対応すべきもの」を特定する工数を大幅に削減し、限られたリソースでも効率的かつ迅速な脆弱性対応を実現します。
<調査概要> yamory調べ
・調査手法 :インターネットリサーチ
・調査対象 :全国、従業員数が1,000名以上でVPN機器を利用している会社に勤める情報システム・セキュリティ担当者
・調査時期 :2025年11月
・有効回答数 :300名
(調査協力 :株式会社クロス・マーケティング)
【脆弱性管理クラウド「yamory(ヤモリー)」について】
「yamory」は、ITシステムの脆弱性を自動で検知し、管理・対策ができるクラウドサービスです。クラウドからオンプレまでの脆弱性管理と、ソフトウェアのSBOM対応をオールインワンで実現します。世界中でサイバー攻撃とその被害が拡大し、セキュリティリスクが経営課題となる中、複雑化するITシステムの網羅的な脆弱性対策を効率化し、誰もが世界標準の対策ができるセキュリティの羅針盤を目指します。
URL:
https://yamory.io/
X:
https://twitter.com/yamory_sec
【株式会社アシュアードについて】
「信頼で、未知を拓く。」をミッションとし、企業のセキュリティ対策を支援するサービスを運営。産業のデジタルトランスフォーメーション(DX)を推進するさまざまな事業を展開するVisionalグループにおいて、サイバーセキュリティ領域を担い、脆弱性管理クラウド「yamory(ヤモリー)」、クラウドサービスのセキュリティ信用評価「Assured(アシュアード)」、取引先企業のセキュリティ信用評価「Assured企業評価」を展開。インターネットですべてが繋がる社会において、信頼から新たな繋がりを作り、新しい可能性を社会に生み出していくことを目指す。
URL:
https://assured.inc
【Visionalについて】
「新しい可能性を、次々と。」をグループミッションとし、HR Tech領域を中心に、産業のデジタルトランスフォーメーション(DX)を推進するさまざまな事業を展開。「ビズリーチ」をはじめとした採用プラットフォームや、社内スカウトで人材流出を防ぐ「社内版ビズリーチ」、人財活用プラットフォーム「HRMOS」シリーズを中心に、企業の人的資本データプラットフォームの構築を目指す。また、M&A、物流Tech、サイバーセキュリティの領域においても、新規事業を次々に立ち上げている。
URL:
https://www.visional.inc/プレスリリース提供:PR TIMES
記事提供:PRTimes
