C
月内に
年1回のペネトレーションテストだけでは、テスト期間外の数百日間にわたる脆弱性の露出を防げないことを指摘する記事です
📌 一言でいうと
年1回のペネトレーションテストだけでは、テスト期間外の数百日間にわたる脆弱性の露出を防げないことを指摘する記事です。ある銀行の事例では、VPNの脆弱性が放置されたことで70以上の金融機関が影響を受けました。攻撃者は年次の評価を待たずに活動するため、継続的な検証体制の必要性を強調しています。
ℹ️ これは他社で発生した事案の情報です。貴社が当該サービスを利用していない場合は、参考情報としてご確認ください。同様の攻撃手法に対する備えのきっかけとしてもご活用いただけます。
🔍該当判定
- Marquis Software社のインフラやサービスを利用している
- VPN装置を導入しており、最新のアップデート(パッチ)を適用していない
- 外部への公開サーバーを運用しているが、脆弱性診断を年1回のみの実施に留めている
上記いずれにも該当しない → 静観でOK
✅該当時の対応
年1回の点検ではなく、継続的な脆弱性管理(Continuous Threat Exposure Management)や、より頻繁なペネトレーションテストの実施を検討すること。