ニュース

全サーバーに更新プログラムを適用している企業は約半数、トレンドマイクロ調査

 トレンドマイクロ株式会社は24日、企業におけるサーバーの脆弱性対策に関する実態調査の結果を公表した。調査は、企業においてサーバーにかかわるIT管理者515人を対象としたもので、調査期間は12月5日~12月8日。

 業務用サーバーにおいて脆弱性が確認され、メーカーからその脆弱性に対する更新プログラムが提供された際に、必ず更新プログラムを適用しているかという質問では、「すべてのサーバーに対して更新プログラムを適用している」という回答は50.3%にとどまった。

 残りの約半数は、「更新プログラムを適用できていないサーバーもある」が27.0%、「対応できているのか把握できていない」が14.2%で、「すべてのサーバーに対して更新プログラムを適用していない」という回答も8.5%あった。

勤務先の業務用サーバーにおいて脆弱性が確認され、メーカーからその脆弱性に対する更新プログラムが提供されている場合、必ず更新プログラムを適用していますか?(単一回答。n=515)

 メーカーから提供されるサーバーの更新プログラムの適用においては、「時間がかかる」という課題を感じている回答者が全体の69.9%に上った。時間がかかる理由(複数回答)としては、「計画的にサーバーを停止させる必要があるため」(31.5%)が最も多く、続いて「検証期間に時間がかかるため」(29.3%)、「作業スケジュールを確保するのが困難なため」(27.2%)、「サーバーごとに脆弱性を確認し、必要な更新プログラムを確認し準備するまでに時間と手間がかかるため」(20.8%)、「リソース不足のため」(17.9%)などが挙げられている。

更新プログラム適用に時間がかかるのはなぜですか? 該当する課題をすべて選んでください。(複数回答。n=360)

 サーバーに更新プログラムを適応しているという回答者に対して、更新プログラムの提供開始から適用完了までにかかる平均時間を尋ねた質問では、「1週間程度」が54.5%、「半月程度」が8.5%、「1カ月以上」が20.0%で、8割以上の回答者が適用までに約1週間以上の期間を要している。

 また、更新プログラムの適用前に、脆弱性対策として補完した対策を実施しているかについては、約4割が「特に何もしていない」「分からない」と回答。サーバーOSの更新プログラムの適用の遅れ、もしくは未適用が原因で、業務用サーバーが外部から攻撃などを受けたことがあるかの質問に対しては、15.1%が「経験あり」と回答している。

更新プログラム適用完了までの期間、何か脆弱性対策として実施しているものはありますか?(複数回答。n=398)

 トレンドマイクロでは今回の調査の結果から、約半数近くのIT管理者が、サーバーの脆弱性が確認された際に提供される更新プログラムに対して、十分な対応が取れていないと指摘。また、更新プログラム適用完了までの間、多くの環境で脆弱性が放置され、実際に業務用サーバーが外部から攻撃などを受けたケースも散見されるなど、サーバーの脆弱性を突いたサイバー攻撃が企業にとって身近な脅威になっていると分析している。

 トレンドマイクロでは、9月に発見されたサーバーの脆弱性などを狙った「Shellshock」では、脆弱性が発見されてから24時間以内にその脆弱性を突いた攻撃が確認されるなど、攻撃を防ぐためには早期に更新プログラムの適用を徹底することが重要だと警告。更新プログラム適用までの間も、IDS/IPSによる脆弱性対策(仮想パッチ)などを活用することで、運用負荷を抑えつつセキュリティリスクを最小限に抑えられるとして、年末年始の長期休暇を前に、企業内のサーバーのセキュリティ状態を再確認するとともに、サーバーの脆弱性対策の実施を呼び掛けている。

三柳 英樹