脆弱性のあるサーバにパッチ適用は5割--「時間がかかる」のが課題

NO BUDGET 2014年12月25日 17時45分

  • このエントリーをはてなブックマークに追加

 トレンドマイクロは12月24日、企業で運用されている業務用サーバに対する脆弱性対策の実態やその課題などを調べた「企業におけるサーバ脆弱性対策に関する実態調査 2014」の結果を発表した。企業のサーバ運用に関わるIT管理者515人を対象にした。

脆弱性が確認され、更新プログラムが提供されている場合、必ず更新プログラムを適用していますか?
業務用サーバで脆弱性が確認され、更新プログラムが提供されている場合、必ず更新プログラムを適用していますか?(単一回答、n=515)
(トレンドマイクロ提供)

 サーバの脆弱性に対する更新プログラムが提供された際に、必ず更新プログラムを適用しているかという質問に対する回答は上のグラフの通り。「脆弱性が確認された全サーバに対して更新プログラムを適用している」と回答したのは50.3%のみで、残りの約半数は脆弱性の確認されたサーバに対する更新プログラムの対応が十分にできていないという結果となった。

 更新プログラムの適用に関する課題を見ると「時間がかかる」との回答者が全体の69.9%にも上った。その理由を複数回答で質問したところ、「計画的にサーバを停止させる必要があるため」(31.5%)、「検証期間に時間がかかるため」(29.3%)、「作業スケジュールを確保するのが困難なため」(27.2%)といった回答が挙げられている(下図)。

更新プログラム適用に時間がかかるのは何故ですか?
更新プログラム適用に時間がかかるのは何故ですか? 該当する課題を全て選んでください。(複数回答、n=360)
(トレンドマイクロ提供)

 更新プログラムの適用に要する平均期間を質問すると「1週間程度」と答えた回答者は54.5%、「半月程度」が8.5%、「1か月以上」が20.0%と、8割以上の回答者が更新プログラムの適用までに約1週間以上の期間を要していることが分かる。

 更新プログラムが適用されるまでの期間に補完的な対策を実施しているかどうかを質問したところ、下図の通り約4割が「特に何もしていない」「分からない」と回答しており、更新プログラム適用まで時間を要するという課題を抱える.一方で、その脆弱性をついたサイバー攻撃に対するセキュリティリスクについても十分な対策がなされていない状況が浮き彫りになった。

何か脆弱性対策として実施しているものはありますか?
更新プログラム適用完了までの期間、何か脆弱性対策として実施しているものはありますか?(複数回答、n=398)
(トレンドマイクロ提供)

 サーバOSの更新プログラムの適用の遅れや未適用が原因で、業務用サーバが外部から攻撃などを受けたことがあるかという質問に対して、15.1%が「経験あり」と回答。実際に外部からの攻撃を受けた経験を持つ回答者が一定数存在することがわかる。

 更新プログラムの適用の遅れ、もしくは未適用が原因で、実際に業務用サーバが外部から攻撃などを受けたケースも散見され、サーバの脆弱性をついたサイバー攻撃が企業にとって身近な脅威になっていることも今回の調査から読み取れる。

 脆弱性が発見されてから更新プログラムが適用されるまでの間、サーバはセキュリティリスクが高い状態となるため、早期の適用が重要になる。適用するまでの間にも不正侵入検知システム(IDS)や不正侵入防止システム(IPS)などによる脆弱性対策などを活用することで、運用負荷を抑えつつセキュリティリスクを最小限に抑えられると説明する。

 トレンドマイクロでは、年末年始の長期休暇を前に企業内のサーバのセキュリティ状態を再確認するとともに、脆弱性対策をしっかりと実施し、企業の情報資産管理のために万全な策を講じることを推奨している。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
より賢く活用するためのOSS最新動向
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算