トレンドマイクロは12月24日、企業で運用されている業務用サーバに対する脆弱性対策の実態やその課題などを調べた「企業におけるサーバ脆弱性対策に関する実態調査 2014」の結果を発表した。企業のサーバ運用に関わるIT管理者515人を対象にした。
業務用サーバで脆弱性が確認され、更新プログラムが提供されている場合、必ず更新プログラムを適用していますか?(単一回答、n=515)(トレンドマイクロ提供)
サーバの脆弱性に対する更新プログラムが提供された際に、必ず更新プログラムを適用しているかという質問に対する回答は上のグラフの通り。「脆弱性が確認された全サーバに対して更新プログラムを適用している」と回答したのは50.3%のみで、残りの約半数は脆弱性の確認されたサーバに対する更新プログラムの対応が十分にできていないという結果となった。
更新プログラムの適用に関する課題を見ると「時間がかかる」との回答者が全体の69.9%にも上った。その理由を複数回答で質問したところ、「計画的にサーバを停止させる必要があるため」(31.5%)、「検証期間に時間がかかるため」(29.3%)、「作業スケジュールを確保するのが困難なため」(27.2%)といった回答が挙げられている(下図)。
更新プログラム適用に時間がかかるのは何故ですか? 該当する課題を全て選んでください。(複数回答、n=360)(トレンドマイクロ提供)
更新プログラムの適用に要する平均期間を質問すると「1週間程度」と答えた回答者は54.5%、「半月程度」が8.5%、「1か月以上」が20.0%と、8割以上の回答者が更新プログラムの適用までに約1週間以上の期間を要していることが分かる。
更新プログラムが適用されるまでの期間に補完的な対策を実施しているかどうかを質問したところ、下図の通り約4割が「特に何もしていない」「分からない」と回答しており、更新プログラム適用まで時間を要するという課題を抱える.一方で、その脆弱性をついたサイバー攻撃に対するセキュリティリスクについても十分な対策がなされていない状況が浮き彫りになった。
更新プログラム適用完了までの期間、何か脆弱性対策として実施しているものはありますか?(複数回答、n=398)(トレンドマイクロ提供)
サーバOSの更新プログラムの適用の遅れや未適用が原因で、業務用サーバが外部から攻撃などを受けたことがあるかという質問に対して、15.1%が「経験あり」と回答。実際に外部からの攻撃を受けた経験を持つ回答者が一定数存在することがわかる。
更新プログラムの適用の遅れ、もしくは未適用が原因で、実際に業務用サーバが外部から攻撃などを受けたケースも散見され、サーバの脆弱性をついたサイバー攻撃が企業にとって身近な脅威になっていることも今回の調査から読み取れる。
脆弱性が発見されてから更新プログラムが適用されるまでの間、サーバはセキュリティリスクが高い状態となるため、早期の適用が重要になる。適用するまでの間にも不正侵入検知システム(IDS)や不正侵入防止システム(IPS)などによる脆弱性対策などを活用することで、運用負荷を抑えつつセキュリティリスクを最小限に抑えられると説明する。
トレンドマイクロでは、年末年始の長期休暇を前に企業内のサーバのセキュリティ状態を再確認するとともに、脆弱性対策をしっかりと実施し、企業の情報資産管理のために万全な策を講じることを推奨している。