編集部からのお知らせ
特集PDF1「導入期に入るマイクロサービス」
特集PDF2「DXレポート」

脆弱性の修正にかかる平均時間は52日に短縮--グーグルのProject Zeroが報告

Jonathan Greig (ZDNet.com) 翻訳校正: 編集部

2022-02-15 14:15

 ゼロデイ脆弱性の発見を任務とするGoogleのセキュリティチーム「Project Zero」は、2021年の活動をまとめたレポートを公開した。報告された脆弱性が修正されるまでにかかった時間は、平均で52日間だった。

Project Zeroの報告
提供:Google

 Project Zeroは、脆弱性を報告してから90日後に情報を開示するという同チームが定めたルールに従って、2019年から2021年の間に376件の脆弱性をベンダーに報告した。

 レポートによれば、これらの問題のうち実際に修正されたのは93.4%で、3.7%がベンダーによって「WontFix」(修正対応を行わない)に分類されたという。

 そのほか、11件のバグが未修正で、うち8件は修正期限を過ぎている。また、発見された脆弱性のうち、65%をMicrosoft、Apple、Googleのものが占めていた。最も件数が多かったのはMicrosoftの96件で、Appleは85件、Gooogleは60件だった。

 Project Zeroは、レポートの中で「全体として言えば、このデータは、大手ベンダーのほとんどが、平均では90日以内に修正を終えていることを示している。猶予期間中に公開されたパッチの多くは、AppleとMicrosoftのものだった(34件中22件)。対象期間中に、修正期限または猶予期限までに修正されなかった件数は全体の約5%だった」と述べている。

 レポートでは、修正までにかかる時間が減少し続けていることを示す統計データも挙げている。特に、MicrosoftやApple、Linuxでは改善が見られ、2019年から2021年にかけて、毎年修正に要する時間が短縮された。これに対して、Googleは2020年には改善されたものの、2021年には再び修正に要する時間が長くなっている。

 2021年は、報告から90日後の修正期限に間に合わなかったのは1件だけで、2019年と2020年の年平均9件と比較すると大幅に減った。

 スマートフォンの脆弱性に関しては、最も多かったのは「iOS」デバイスの76件で、サムスン製「Android」デバイスの10件、GoogleのAndroidデバイス「Pixel」の6件がそれに続いた。

 ブラウザーでは、「Chrome」に40件の脆弱性が発見され、パッチの公開までに要した平均日数は5.3日だった。「WebKit」は件数が27件、平均修正日数が11.6日、「Firefox」は件数が8件、平均修正日数が16.6日だった。

 Project Zeroは、今回の調査結果は全体的に状況が改善していることを示しており、多くのベンダーが発見された修正のほとんどを修正していたと述べている。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]