脆弱性の修正にかかる平均時間は52日に短縮--グーグルのProject Zeroが報告

Jonathan Greig (ZDNet.com) 翻訳校正: 編集部

2022-02-15 14:15

 ゼロデイ脆弱性の発見を任務とするGoogleのセキュリティチーム「Project Zero」は、2021年の活動をまとめたレポートを公開した。報告された脆弱性が修正されるまでにかかった時間は、平均で52日間だった。

Project Zeroの報告
提供:Google

 Project Zeroは、脆弱性を報告してから90日後に情報を開示するという同チームが定めたルールに従って、2019年から2021年の間に376件の脆弱性をベンダーに報告した。

 レポートによれば、これらの問題のうち実際に修正されたのは93.4%で、3.7%がベンダーによって「WontFix」(修正対応を行わない)に分類されたという。

 そのほか、11件のバグが未修正で、うち8件は修正期限を過ぎている。また、発見された脆弱性のうち、65%をMicrosoft、Apple、Googleのものが占めていた。最も件数が多かったのはMicrosoftの96件で、Appleは85件、Gooogleは60件だった。

 Project Zeroは、レポートの中で「全体として言えば、このデータは、大手ベンダーのほとんどが、平均では90日以内に修正を終えていることを示している。猶予期間中に公開されたパッチの多くは、AppleとMicrosoftのものだった(34件中22件)。対象期間中に、修正期限または猶予期限までに修正されなかった件数は全体の約5%だった」と述べている。

 レポートでは、修正までにかかる時間が減少し続けていることを示す統計データも挙げている。特に、MicrosoftやApple、Linuxでは改善が見られ、2019年から2021年にかけて、毎年修正に要する時間が短縮された。これに対して、Googleは2020年には改善されたものの、2021年には再び修正に要する時間が長くなっている。

 2021年は、報告から90日後の修正期限に間に合わなかったのは1件だけで、2019年と2020年の年平均9件と比較すると大幅に減った。

 スマートフォンの脆弱性に関しては、最も多かったのは「iOS」デバイスの76件で、サムスン製「Android」デバイスの10件、GoogleのAndroidデバイス「Pixel」の6件がそれに続いた。

 ブラウザーでは、「Chrome」に40件の脆弱性が発見され、パッチの公開までに要した平均日数は5.3日だった。「WebKit」は件数が27件、平均修正日数が11.6日、「Firefox」は件数が8件、平均修正日数が16.6日だった。

 Project Zeroは、今回の調査結果は全体的に状況が改善していることを示しており、多くのベンダーが発見された修正のほとんどを修正していたと述べている。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    【マンガ解説】まだ間に合う、失敗しない「電子帳簿保存法」「インボイス制度」への対応方法

  2. セキュリティ

    企業のDX推進を支えるセキュリティ・ゼロトラスト移行への現実解「ゼロトラスト・エッジ」戦略とは

  3. 経営

    2023年データとテクノロジーはどう変わるか 分析プラットフォームベンダーが明かす予測と企業戦略

  4. セキュリティ

    リモートワークで浮き彫りとなった「従来型VPN」、課題解決とゼロトラスト移行を実現する最適解

  5. セキュリティ

    第2世代EDRはココが違う 「自動化」でエンドポイントセキュリティの運用負荷・コストを削減

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]