2022年8月、また、Fortinet社のOSで脆弱性が報告されました。
数年前にはOSの脆弱性のため、多数の組織でFortinet社のファイアウォール、FortiGateを突破され内部に侵入されました。確か日本の警察でも侵入されたかと記憶しています。
この問題は、ファームウェアをアップデートすれば解決するので、多少手間はかかるとはいえそれほど大変な作業ではありません。それでもなお、ポツポツと侵入された話を聞きます。
ではなぜ、ファームウエアのアップデートがされないのでしょうか?
実は弊社のお客様でもアップデートされていないところがありました。その理由を聞いてみると、あるシステムを導入する際に、FotiGateをついでに入れてもらったたが、よくわからないからそのまま。との事でした。
弊社でチェックして、どうもOSのアップデートがされていないようなので、内部を確かめたいと思ったのですが、導入したベンダーは自分たちがメンテナンスしているからと言って断固としてパスワードを教えてもらえませんでした。しかしながらあるキッカケで、やはりOSがアップデートされないまま今に至っている事がわかりました。
ベンダーの言い分を聞いている訳では有りませんが、そもそもサポート契約は締結されていましたが、それは機器が故障した際、不具合があった際のサポートのみ(明記はされていません)で、脆弱性が報告された際のサポートでは無いと認識されているようなのです。
無知なベンダーは、きちんと動いているから良いでしょ?というスタンスで、ファームウェアをアップデートしない危険性については見ようとはしません。
この件は、サポート契約は脆弱性の修正を含んだサポート契約にする事をお勧めしました。
実はこの様な例は他にもあって、基本的に大手のベンダーになるほど、脆弱性対応まで含んだサポート契約の意識は無いようです。ユーザに連絡さえ無いところもあります。
以前Fortinet社のトップが、自社の製品のユーザを把握しきれていない、という発言を聞きましたが、このようなリスクを孕んだ状態は世の中に多数あるようです。
