多くの企業は、脆弱性の情報が公表されてから1カ月後になっても、大多数の脆弱性を修正していないことが明らかになった。
CA Veracodeが発表しているレポート「State of Software Security」(SOSS)の最新版によると、情報開示から4週間経っても修正されない脆弱性は全体の70%に及び、3カ月後になってもパッチが適用されていないケースでさえ55%近くにのぼるという。
もちろん、企業のネットワークやアプリケーション、インフラに影響を与える脆弱性の深刻度にはばらつきがあり、一般に、その企業にとってもっとも危険度が高いと思われる脆弱性から問題を解決し、修正していく必要がある。
しかし、緊急度が高い脆弱性の25%は290日後になっても修正されておらず、緊急度が低い脆弱性の4分の1は、情報開示後1年以上経っても修正されないままになっている。
全体として見れば、脆弱性のうち4つに1つは21日以内に修正されているが、これでもサイバー攻撃の足がかりになる可能性は残っている。
1億4600万人の顧客情報が漏えいしたEquifaxの事例を見ても分かるとおり、企業が妥当な期間内に問題を修正できなければ、深刻な被害が発生する可能性がある。
Equifaxの情報漏えい事件では、「Apache Struts」のフレームワークに存在した脆弱性(CVE-2017-5638)が悪用されたが、この脆弱性に対するパッチは、攻撃が起こる何カ月も前に提供されていた。
興味深いのは、地域によって脆弱性への対応が異なっているように見えることだ。もっとも対応が速いのはアジア太平洋地域(APAC)の企業で、平均で8日以内に4分の1の脆弱性が修正されている。これに次ぐのが米国の22日で、欧州・中東・アフリカ地域(EMEA)は28日かかっている。
APAC地域の素早い対応は、この地域の強みであるようにも思えるが、脆弱性全体の様子を見ると、評価は変わってくる。脆弱性の75%に対応するのに掛かっている時間を見ると、米国では平均413日であるのに対して、APAC地域ではその2倍以上時間がかかっており、EMEA地域もAPAC地域とそれほど変わらない状況だ。
また全体的に、アプリケーションには脆弱性が存在する率が高く、80%以上が1つ以上の脆弱性を抱えている。そのうち30%以上が、緊急度が高い脆弱性だ。
アプリケーションに存在する脆弱性
企業が利用するオープンソースのセキュリティについても改善の余地がある。調査によれば、企業が利用しているアプリケーションの85%以上に、1つ以上の脆弱性が存在している。これらの脆弱性には緊急度が低いものも含まれるが、13%は緊急度が高い脆弱性に分類されている。
とはいえ、企業は情報が開示されたセキュリティホールのすべてに直ちに対応できるわけではない。企業は幅広いサービスやアプリケーションを利用しており、それらのサービスやアプリケーションにも、オープンソースのコンポーネントやライブラリが使われている可能性がある。このため、目配りが必要な潜在的な攻撃対象は膨大な数になる。
しかしレポートによれば、そうした問題があるにも関わらず、企業のサイバーセキュリティに関する状況は少しずつ改善しているという。
全体では、最終的に69%の脆弱性が(修正あるいは緩和策によって)解決されていると推計されているが、これは前年に比べて12%高い数字だ。
CA Veracodeの調査担当バイスプレジデントChris Eng氏は、「セキュリティ意識の高い企業は、DevSecOpsが掲げるスピード・柔軟性・リスク管理のバランスの原則を実現するためには、継続的ソフトウェアデリバリのサイクルに、セキュリティ設計とテストを直接組み込む必要があると気づいている」と述べている。「こうした段階的な改善は、長期的に見れば市場における競争力を得る上で大きな役割を果たし、脆弱性がもたらすリスクを大幅に下げることになる」
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。