編集部からのお知らせ
「ZDNet Japan Summit」参加登録受付中! 
新着記事集:「負荷分散」

脆弱性への対応速度が向上するも、セキュリティ懸念は拡大--専門家が指摘

Joris Evers (CNET News.com)

2005-11-16 17:31

 ワシントン発--システム管理者のセキュリティ脆弱性への対応速度は以前よりも向上しているかもしれない。しかし、このレースをリードしているのはいまだに攻撃者の方だ。

 米国時間15日に発表された調査結果によると、セキュリティ脆弱性が発見されてから、それを悪用する攻撃が発生するまでの期間が、以前より短くなっているという。

 セキュリティ対策企業QualysでCTO兼エンジニアリング担当バイスプレジデントを務めるGerhard Eschelbeckは、当地で開催されたComputer Security Instituteカンファレンスでプレゼンテーションを行い、ここ1年間でシステムにパッチを適用する取り組みは改善されたものの、今も7割近くのシステムが脆弱なまま、攻撃の脅威にさらされていると述べた。

 Eschelbeckによると、インターネットに直接接続されている脆弱なシステムの数を減らすのにかかる時間を示す「脆弱性半減期(vulnerability half life)」が、2005年に入って2日間短くなったという。

 今では脆弱性の発見から19日以内に、脆弱なシステムの半数において、パッチ適用や問題回避など何らかの対策が講じられていると、Eschelbeckは述べる。1年前の脆弱性半減期は21日間、2年前のそれは30日間だった。

 しかし、脆弱なシステムの半分を修復するのに19日もかかっていては不十分だ。「セキュリティ上の弱点を突く攻撃の8割は(脆弱性の発見から)19日以内に発生している」と同氏は述べる。

 ファイアウォール内やほかのセキュリティ技術で守られている社内システムの修正に時間を費やすシステム管理者の半数は現在、社内システムの脆弱性を48日以内に修正している。こうした企業内システムにおける2004年の脆弱性半減期は62日間だったとEschelbeckは述べる。

 システムのセキュリティを向上させるために、企業はパッチの適用作業を優先すべきだとEschelbeckは述べている。「セキュリティ攻撃の9割は、1割の脆弱性に起因して発生している」とEschelbeckは述べる。この課題を解決する手法として、同氏は、2005年に入り発表されたCommon Vulnerability Scoring System(CVSS)を紹介した。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    Google Cloudセキュリティ基盤ガイド、設計から運用までのポイントを網羅

  2. セキュリティ

    仮想化・自動化を活用して次世代データセンターを構築したJR東日本情報システム

  3. ビジネスアプリケーション

    スモールスタート思考で業務を改善! 「社内DX」推進のためのキホンを知る

  4. セキュリティ

    Emotetへの感染を導く攻撃メールが多数報告!侵入を前提に対応するEDRの導入が有力な解決策に

  5. セキュリティ

    偽装ウイルスを見抜けず水際対策の重要性を痛感!竹中工務店が実施した2万台のPCを守る方法とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]