SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

徳丸浩が斬る、セキュリティのイマ

ベンダーがVPN装置のパッチあてといった脆弱性対策に及び腰なワケ──意識すべき、利用者側の心得とは

【徳丸浩が斬る、セキュリティのイマ:第3回】VPNの脆弱性を突いた攻撃がなくならない理由

 多くの日本企業でセキュリティ被害が増えている昨今、企業や組織はどう対応していくべきなのか。EGセキュアソリューションズの取締役CTOである徳丸浩氏が、日本の「セキュリティのイマ」をわかりやすく徹底解説する連載企画第3弾。今回のテーマは「ベンダーがVPNといった脆弱性対策に及び腰なワケ セキュリティ契約で意識すべき、利用者側の心得とは」です。VPNを経由した被害が起きる中、その原因に企業が依頼したベンダーに求める声が日々上がっています。被害を受けないために、事業者側とベンダーとの間に起こりがちな課題と解決策とは。徳丸氏が詳しく解説します。

現実的ではない、利用者側による脆弱性管理

 はい、これまで記事の題材としてサプライチェーンに関連した攻撃の話を進めてきました。ですが攻撃がなくならない理由、翻って攻撃を防御できていない理由にも、サプライチェーンが絡んできます。

 前回の記事でお伝えした、つるぎ町立半田病院と大阪急性期総合医療センターの事例もそうですが、テクニカルに見るとVPN装置の脆弱性が放置され、侵入されてしまったというだけのことでした。これについても以前の記事でお伝えした通り、手口はかなり前から明らかになっています。

 しかしこういった被害が起きてからも、長期間その手口が使われ続けているのはなぜか。攻撃を受けた被害者側から見れば「脆弱性を放置してしまった」ということになりますが、では「誰にその責任があったのか」という話を今回いたします。

 一般論としてVPN装置を使うのであれば、それを使うユーザー側に責任があるというのが現在主流の考え方です。使うのが病院だったら病院、企業だったらその企業に責任がある。

 その組織の IT ネットワークに対してその使う利用者側が、主体的にセキュリティというものを考えて目配りをして、VPN装置を入れるのであれば「そのセキュリティ対応はどういう状況になっているのか」については、“利用企業側が責任を持つべきである”。このような構図になっています。

図:EGセキュアソリューションズにて作成【画像クリックで拡大】
図:EGセキュアソリューションズにて作成【画像クリックで拡大】

 様々なセキュリティインシデントが起こると、利用者側(前述の半田病院の件でしたら病院側)が記者会見をして「大変申し訳ございません、以後気をつけます」ということになります。

 ただ私には、こういった“利用者側が全責任を負う現況について無理があるのではないか”と思っています。というのも、半田病院は徳島県つるぎ町というその地方の基幹病院でして、お話を伺うと、その地域で出産をする際はその病院に行くしかないという状況なんだそうです。

 その上で病院の規模としてはそれほど大きくなく、またIT担当者が一人しかいないといった状況でもある。ですので、この事例は日本の小規模な組織の参考になると言えます。

 繰り返しになりますが、小規模な企業あるいは病院などが「自らセキュリティに主体性をもって、目配りをしてもれなく対策をする」というのは無理な要求です。ですので、こういった小規模組織がセキュリティ対策を行うにあたっては、もう少し現実的な対応をする必要があります。

次のページ
現実問題として低い、ベンダー側の意識

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
徳丸浩が斬る、セキュリティのイマ連載記事一覧

もっと読む

この記事の著者

徳丸浩(トクマル ヒロシ)

イー・ガーディアングループCISO 兼 EGセキュアソリューションズ取締役CTO。ウェブアプリケーションセキュリティの第一人者。 脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動を行う。 徳丸氏がCTOを務めるEGセキュアソリューションズは、セキュリティの知識を問う 「ウェブ・セキュリティ試験」の監修を務める。著書「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版」は、...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/17648 2023/04/26 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング