trueNetLab logo
JA
Sophos Connect: 管理者がブログ記事を追いかけるべきではない理由

Sophos Connect: 管理者がブログ記事を追いかけるべきではない理由

3 min read
Network Sophos Security

目次

Windows向けSophos Connect 2.5 MR1が利用可能になった。一見すると小さなmaintenance releaseに見える。いくつかのclient修正、updated third-party component、そしてfirewallまたはSophosからの直接download。

しかし、私の問題意識はまさにそこにある。

Sophos Connectは、たまに試すVPN接続のための小さな便利ツールではない。このclientはWindows endpoints上で動き、remote-access VPNを確立し、多くの組織ではinternal networkへの直接の入り口になる。そういうsecurity toolが重要なcryptographic libraryを更新するなら、その情報がcommunity blog postの中に隠れているように感じられてはいけない。

さらに気になるのは、OpenSSL 3.3.7がすでに2026年4月7日に公開されていたことだ。Sophos Connect 2.5 MR1が来たのは2026年6月18日。およそ10週間である。普通のdesktop appなら、少し遅れたmaintenance updateで済むかもしれない。だがcryptographic libraryを含むVPN clientでは、その期間はかなり気持ち悪い。

個々のuserが本当にSophos blogsを読んで、自分のVPN clientを更新すべきだと気づく必要があるのか。小規模なIT adminは全員community feedを購読して、こうしたreleaseを見逃さないよう祈るべきなのか。Remote Access、certificates、authentication、encryptionに直接関わるtoolとしては、それでは足りない。

VPN clientはsecurity infrastructureだ。だから重要なclient updateがblog postとしてだけ存在していてはいけない。

Sophos Connect 2.5 MR1で変わること

Sophosは2026年6月18日にWindows向けSophos Connect Client 2.5 MR1を発表した。Sophosによれば、これはcommunityから報告された複数の問題を修正するmaintenance releaseである。

最も重要なtechnical changeは明確に書かれている。

  • OpenSSLがversion 3.3.7へ更新された。

この表現は小さく見える。だが運用上は小さくない。4月7日のOpenSSL releaseから6月18日のSophos Connect versionまで、2か月以上が経過している。Sophosがreview、integration、test、packagingを行う必要がある、という説明は公平だ。だからこそsecurity clientには透明性が必要になる。adminsがblog postから、client componentが何週間もsecurity patch releaseを待っていたと推測しなければならない状態はよくない。

Sophosはさらに、複数のSophos Connect issue修正を挙げている。

  • 別のuserがinstallした場合、追加のWindows usersでclientがauto-startしなかった。
  • Internet interruption後、SSO usersに誤ったVPN statusが表示されることがあった。
  • OTPを使うcredential usersがreconnect時に、IPsecかSSL VPNかによって異なるlogin verification promptを受けることがあった。
  • certificatesにspecial charactersが含まれる場合、SSO usersがprovisioning fileからSSL VPN connectionを確立できなかった。

これは見た目だけの修正ではない。Startup behavior、status display、SSO、OTP、provisioning、certificatesというtypical remote-access問題である。つまり何かがきれいに動かないとき、help desk、admins、usersがすぐ見通しを失う領域そのものだ。

それでも、このreleaseを私にとって特に重要にしているのはOpenSSL 3.3.7である。

OpenSSL 3.3.7が重要な理由

OpenSSL 3.3.7は2026年4月7日にsecurity patch releaseとして公開された。OpenSSL自身は、修正された最も深刻なissueをModerateと評価している。劇的には聞こえない。だが通常のbugfix updateでもない。

OpenSSL 3.3.7は、とりわけ次を修正する。

  • CVE-2026-31790: RSA KEM RSASVE Encapsulationにおけるincorrect error handling。特定条件でuninitialized memory contentsがmalicious peerへ送られる可能性がある。
  • CVE-2026-28387: DANE client codeにおけるpotential use-after-free issue。
  • CVE-2026-28388: Delta CRL processing時のpossible NULL pointer dereference。
  • CVE-2026-28389およびCVE-2026-28390: 特定のCMS EnvelopedData structures処理時のpossible NULL dereferences。
  • CVE-2026-31789: 32-bit platformsでのhexadecimal conversionにおけるheap buffer overflow。

これらのvulnerabilitiesがすべてSophos Connectで自動的にexploitableというわけではない。それは重要だ。OpenSSL CVE listだけを見て、すべてのclientがすべてのscenarioで直ちにcompromisableだと決めつけるべきではない。

しかし逆も同じくらい間違っている。“Moderate"や"Low"は"irrelevant"ではない。

OpenSSLはbase componentだ。TLS、certificate validation、cryptographic operations、secure connectionsを作る多くのprogramに関わる。VPN clientがこのlibraryを同梱するなら、そのlibraryのmaintenanceはclient security modelの一部である。特に、持ち歩かれ、未知のnetworkで動き、internal environmentsへ接続するnotebooks上のclientではなおさらだ。

それでもSSL VPNがここで関係する理由

Sophos Connectについて以前から気になっている点がもう一つある。customerが実際にSSL VPNを使うかどうかに関係なく、clientはSSL VPN用にOpenSSLを同梱する。

多くのenvironmentでは今、IPsecへの依存が強くなっている。理由は十分ある。多くの場合better performance、既存VPN designへのclearer integration、そして何よりsoftware deployment、RMM、Intune、その他Endpoint Management toolsによる配布のしやすさだ。企業では、usersがportalから手動でVPN installerを取ってくる運用にはしたくない。欲しいのはpackage、version、rollout window、clean inventoryである。

customerがSophos ConnectをIPsecだけに使っていても、SSL VPN用のOpenSSLはinstalled clientの一部であり続ける。これは、そのenvironmentでOpenSSL vulnerabilityがすべて実用的にexploitableだという意味ではない。だがlibraryは存在し、maintainが必要で、inventoryやvulnerability scansに現れ、patch workを生む。

だからupdate logicが重要になる。すべてのcustomerがactiveに使うわけではないcomponentsをproductがinstallするなら、vendorにはそれらを素早く、目に見える形でmaintainする特別な責任がある。そうでなければclassic enterprise problemになる。featureはtechnically present、operationally unused、しかしpatchと説明は必要、という状態だ。

そのための専用releaseに意味がある理由

Sophosがこのためにmaintenance releaseを出すこと自体は正しいと思う。

VPN clientは単なるdesktop appではない。access controlの一部である。そのclientがoutdated crypto librariesを使うなら、実用的なexploitabilityをcase-by-caseで評価する必要があるとしても、operational riskが発生する。

Security componentsでは3つのことが重要だ。

  • Component maintenance: third-party librariesは速やかに更新される必要がある。
  • Traceability: adminsはどのversionがdeployedされているか見える必要がある。
  • Distribution: patchはendpointsへ確実に届かなければならない。

第一点はここで満たされている。SophosはOpenSSLを更新した。第二点も少なくとも部分的には満たされている。release notesとblog postがversionを明記している。第三点が面白いところだ。

Sophosによれば、現在のclient installerはUp2Date packageを通じてSFOS firewallsへ配布され、その後WebAdminまたはVPN portalからdownloadできる。これは有用だ。firewallがinstallerのlocal sourceになるからだ。

しかしそれは、すべてのWindows endpoint上でcleanでvisibleなauto-update processが動くこととは違う。

userが一度clientをinstallし、その後二度とactiveに更新しなければ、firewall側でinstallerが利用可能になるだけでは道半ばである。誰かがrolloutをtriggerし、monitorし、finishしなければならない。

本当の批判点: visibility

私の批判は主にrelease自体に向いているわけではない。releaseは妥当だ。

批判しているのはvisibilityとexpectationsである。

Modern security toolなら、少なくとも次のどれかを提供すべきだと思う。

  • client内のclear update notification、
  • Sophos Centralまたはfirewall上でoutdated client versionsを示すcentral view、
  • officialでwell-documentedなauto-update mechanism、
  • あるいはsecurity-relevant client buildがoutdatedな場合のadmin warning。

Sophos Connectで最も欲しいのは、optionalでcontrollableなauto-update mechanismだ。黙ってでもなく、uncontrolledでもなく、company policyに反してでもない。adminが、security-relevant client updatesをdefined groupsへautomaticまたはsemi-automaticにrolloutできると決められる形だ。小さなteamsはblind spotsを減らせるし、大きなteamsはchange processへ組み込める。

もちろん、GPO、RMM、Intune、software deploymentで既に解決しているenvironmentもある。良いadminsは処理できる。だがproduct pointは変わらない。remote-access clientsでは、update communicationを偶然に任せるべきではない。

Sophosはupdate automationの重要性をよく知っている。Firewallsにはpattern updates、hotfixes、firmware notices、Central visibilityがある。Endpoint productsではautomatic updatesがそもそも期待される。では、なぜVPN clientだけが一部でこれほどmanualに感じられるのか。

これは贅沢な問題ではない。小さなgapが長く残るのは、まさにこういう場所だ。

Adminsが今すべきこと

Adminsにとって、実務上の結論はかなり明確だ。

第一に、Sophos Firewallが新しいSophos Connect installerをすでに受け取っているか確認する。SophosはinstallerがUp2Date packagesを通じてSFOS firewallsへ配信され、その後WebAdminまたはVPN portalで利用可能になると説明している。

第二に、Windows clients上のinstalled Sophos Connect versionsを確認する。central inventoryがなければ、それこそが本当のpain pointだ。RMM、Intune、GPO、endpoint management、またはscriptで最低限のoverviewが必要になる。

第三に、新しいclientをstandard userだけでtestしない。real scenariosをtestする。

  • username、password、MFAを使うSSL VPN
  • 利用している場合のIPsec with OTP
  • Microsoft Entra ID SSO
  • provisioning files
  • nameやrelevant fieldsにspecial charactersを含むcertificates
  • internet interruption後のreconnect
  • environmentに存在する場合、同じdevice上のmultiple Windows users

IPsecだけを使っている場合でも、このupdateを無視するべきではない。clientが日常利用でcleanにstartするか、profilesが期待通り配布されるか、inventoryがnew versionを正しく検出するかを特に確認したい。OpenSSLはその場合activeに使われるVPN pathではないかもしれないが、libraryはinstalled clientの一部である。

第四に、updateを計画的にrolloutする。panicではなく、しかし「いつか」でもない。OpenSSL 3.3.7はsecurity patch releaseだ。OpenSSLを含むVPN clientは、「次のnotebook交換時にやる」ものではない。

第五に、明確にcommunicateする。usersはRSASVE、DANE、CMS KeyAgreeRecipientInfoの意味を知る必要はない。VPN clientが更新されること、接続を後でtestすべきこと、SSO、OTP、provisioningの問題をどこへ報告するかを知ればよい。

Sophosが改善すべきこと

Sophos Connectには3つのことを望みたい。

第一に、client内の明確なupdate information。security-relevant client versionが利用可能なら、user、少なくともlocal adminには見えるべきだ。さらに良いのは、それを意図的に許可するenvironment向けのcontrollable auto-update pathである。

第二に、central admin view。Sophos Centralまたはfirewallで、environment内に知られているSophos Connect versionsとoutdatedなものが見えるべきだ。clientがcentrally managedでないなら、少なくともinventoryとrollout recommendationsを明確に提供してほしい。

第三に、release communicationの改善。Community blog postはannouncementとしてはよい。だがsecurity-relevant client componentsについては、「blogを読んでinstallerをdownloadする」はoperating modelではない。underlying OpenSSL versionが4月から利用可能ならなおさらだ。

私はSophosを悪く言いたいわけではない。むしろOpenSSLを更新したことはpositiveだ。release notesでversionを明記したこともpositiveだ。installerをfirewall経由で配布することも実用的だ。

しかし2026年のsecurity vendorなら、remote-access clientsについてもう少し提供すべきだ。

私の結論

Sophos Connect 2.5 MR1は派手なreleaseではない。だからこそ興味深い。

これはsecurity operationsが実際にはどう見えるかを示している。大きなnew featuresだけではなく、component maintenance、小さなclient fixes、certificate details、SSO behavior、OTP reconnects、そしてupdateが本当にすべてのendpointへ届くのかという問いだ。

OpenSSL 3.3.7はsecurity patch releaseである。SophosがそれをSophos Connectへintegrateするのは正しい。Adminsがupdateを無視しないのも正しい。しかし4月から6月までの期間は、update speedとvisibilityについて問うには十分長い。

Architecture pointも残る。Sophos Connectは、environmentが主に、または完全にIPsecを使っていても、OpenSSLを含むSSL VPN componentsをinstallする。Sophosがcombined clientを提供する以上、technicallyには理解できるかもしれない。だがoperationallyには追加責任が生じる。installされるものは、reliablyにupdateされなければならない。

したがってSophosは、この不快な質問を受け止めるべきだ。VPN clientのこの種のupdateを知るために、なぜadminが能動的にblog postを追いかける必要があるのか。

internal networkへのaccessを守るsecurity toolとして、それでは足りない。

よろしくお願いします。
Joe

FAQ

Windows向けSophos Connect 2.5 MR1の新機能は何ですか?
Sophos Connect 2.5 MR1はOpenSSLをversion 3.3.7へ更新し、auto-start、SSO status、OTP reconnect behavior、certificatesを使うSSL VPN provisioningに関する複数のreported issuesを修正します。
OpenSSL 3.3.7が重要なのはなぜですか?
OpenSSL 3.3.7は2026年4月7日のsecurity patch releaseです。RSA KEM RSASVE Encapsulationのmoderate issue、DANE、CRL、CMS processingのlower-severity issuesなど、複数のvulnerabilitiesを修正します。Sophos Connect 2.5 MR1は2026年6月18日に公開され、約10週間後でした。
UsersはSophos Connectを自分で更新する必要がありますか?
それはoperating modelによります。Sophosはfirewallまたはdirect downloadでinstallerを提供します。managed environmentsでは、adminsがcentralにupdateをrolloutすべきであり、usersがblog postsを読んだり手動対応したりすることに頼るべきではありません。
IPsecだけを使っている場合でもOpenSSLは関係ありますか?
はい、少なくともoperationallyには関係します。Sophos ConnectがSSL VPN用にOpenSSLをinstallするなら、environmentが主にIPsecを使っていてもlibraryはinstalled clientの一部です。これは自動的に実用的なexploitabilityを意味しませんが、patching、inventory、説明の作業は発生します。
参考資料

関連記事

Sophos vs WatchGuard:2026年のファイアウォール比較

Sophos vs WatchGuard:2026年のファイアウォール比較

Sophos vs Cisco Meraki:ファイアウォール比較

Sophos vs Cisco Meraki:ファイアウォール比較

Sophos vs Check Point 2026:現場目線のファイアウォール比較

Sophos vs Check Point 2026:現場目線のファイアウォール比較

検索