開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 2014/12/24

脆弱性対策の実態調査:企業の8割、セキュリティパッチ適用に1週間超 15%は被害経験

企業のサーバ運用に関わるIT管理者515名を対象に実施した「企業におけるサーバ脆弱性対策に関する実態調査 2014」によれば、脆弱性のあるすべてのサーバに更新プログラムを適用しているとする回答者は、約半数にとどまった。トレンドマイクロがインターネットで調査を実施・公開した。

 「企業におけるサーバ脆弱性対策に関する実態調査 2014」では、脆弱性のあるサーバに対して、メーカーからその脆弱性に対する更新プログラム(セキュリティパッチ)が提供された際に、必ず更新プログラムを適用しているのかを質問した。その結果、「更新プログラムを適用できていないサーバもある」との回答が27.0%を占め、「すべてのサーバに対して更新プログラムを適用していない」の回答は8.5%、「対応できているのか把握できていない」の回答は14.2%となった。

photo
勤務先の業務用サーバにおいて脆弱性が確認され、メーカーからその脆弱性に対する更新プログラムが提供されている場合、必ず更新プログラムを適用していますか?(単一回答。n=515)

 「脆弱性が確認された全サーバに対して更新プログラムを適用している」のは50.3%のみで、残りの約半数は、脆弱性の確認されたサーバに対する更新プログラムの対応が十分にできていない状況が明らかになった。

 また、メーカーより提供されるサーバの脆弱性に対する更新プログラムの適用において、「時間がかかる」という課題を感じているとの回答者が全体の69.9%にのぼった。時間がかかる理由としては、「計画的にサーバを停止させる必要があるため(31.5%)」が最も多く、続いて「検証期間に時間がかかるため(29.3%)」、「作業スケジュールを確保するのが困難なため(27.2%)」、「サーバごとに脆弱性を確認し、必要な更新プログラムを確認し準備するまでに時間と手間がかかるため(20.8%)」、「リソース不足のため(17.9%)」が挙げられた。

画像
更新プログラム適用に時間がかかるのは何故ですか?該当する課題をすべて選んでください。(複数回答。n=360)

関連記事
 さらに、サーバに更新プログラムを適応している(「すべてのサーバに対して更新プログラムを適用している」または、「更新プログラムを適用できていないサーバもある」の回答者)398人を対象に、業務用サーバにおいて脆弱性が確認され、メーカーよりその脆弱性に対する更新プログラムが提供された際に、実際にその適用完了までにかかる平均期間を質問した。

 その結果、「1週間程度」と答えた回答者は54.5%、「半月程度」が8.5%、「1か月以上」かかると回答した人は20.0%と、8割以上の回答者が更新プログラムの適用までに約1週間以上の期間を要していることがわかった。

 サーバに更新プログラムを適応している(「すべてのサーバに対して更新プログラムを適用している」または「更新プログラムを適用できていないサーバもある」の回答者)398名を対象に、サーバの脆弱性に対する更新プログラム適用の作業プロセスにおいて、その間に何か脆弱性対策として補完した対策を実施しているかを質問した。その結果、約4割は「特に何もしていない」、「分からない」と回答した。

photo
更新プログラム適用完了までの期間、何か脆弱性対策として実施しているものはありますか?(複数回答。n=398)

 さらに、サーバOSの更新プログラムの適用の遅れ、もしくは未適用が原因で、業務用サーバが外部から攻撃などを受けたことがあるかの質問に対して、15.1%が「経験あり」と回答した。

 トレンドマイクロは、「年末年始の長期休暇を前に、企業内のサーバのセキュリティ状態を再確認するとともに、サーバの脆弱性対策をしっかりと実施し、企業の情報資産管理のために万全な策を講じることを推奨します」とコメントしている。

ファイアウォール・IDS・IPS(不正侵入... ジャンルのトピックス

ファイアウォール・IDS・IPS(不正侵入... ジャンルのIT導入支援情報

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!