ニュース

修正パッチ未適用によるマルウェア感染は25.4%が経験、企業IT管理者アンケート

 トレンドマイクロ株式会社は、企業におけるシステムの脆弱性管理に関するウェブアンケート調査の結果を公表した。

 調査は、企業のIT管理者515名を対象として2013年12月に実施したもので、自社の業務用端末のOSの修正プログラム適用状況を把握しているIT管理者のうち4人に1人(25.4%)が、勤務先においてOSの修正プログラム未適用を原因とした不正プログラム感染を経験したことがあると回答している。

OSの修正プログラム未適用による不正プログラム感染経験

 OSの修正プログラム適用前に検証を行うとしたIT管理者を対象に、検証にかかる平均時間を聞いた質問では、「1週間以上かかる」とした回答者は65.1%に上った。修正プログラム適用までに時間がかかり、OSの脆弱性により不正プログラム感染のリスクにさらされている期間が発生している状況が明らかになったとしている。

OSの修正プログラムの検証にかかる平均的な時間

 また、修正プログラムの検証期間中に行っているセキュリティ対策についても、最も多い「従業員への注意喚起」でも32.3%、OSの脆弱性を狙った攻撃を防ぐ製品の利用は2割り程度で、修正プログラム検証期間中の脆弱性対策は十分に実施されていない状況だとしている。

検証期間中に行っているセキュリティ対策

 修正プログラム適用の課題については、「全てのPCへの適用に時間がかかる」(32.0%)、「修正プログラムの検証に時間がかかる」(29.7%)、「適用が確実に行われているか把握できない」(29.1%)などが主に挙げられている。

修正プログラム適用の課題

 業務用PCの脆弱性管理については、「脆弱性の管理は複雑になりつつある」「修正プログラムの適用に時間がかかるのは仕方がない」と約8割が回答している。

OSやアプリケーションの脆弱性管理に対する考え

 トレンドマイクロでは、OSやアプリケーションの脆弱性対策では、自社で使用しているシステムのバージョンや修正プログラムの管理徹底が必要だと説明。すぐに修正プログラムが適用できない状況下でも、特定の脆弱性を狙った攻撃を防ぐ仮想パッチを活用するなど、脆弱性を狙った攻撃からユーザーのシステムを保護する対策の検討を推奨している。

三柳 英樹