トレンドマイクロは12月24日、企業のIT管理者を対象にしたインターネット調査「企業におけるサーバー脆弱性対策に関する実態調査 2014」を実施し、その結果を発表した。
今回の調査は、企業が運用している業務用サーバーに対する脆弱性対策の実態や課題について2014年12月に調査したもの。企業のサーバー運用に関わるIT管理者515名から回答を得られた。
調査では、脆弱性のあるサーバーにおいて、メーカーよりその脆弱性に対する更新プログラムが提供された際に、必ず更新プログラムを適用しているか質問した。
回答では、「更新プログラムを適用できていないサーバーもある」との回答が27.0%を占め、「全てのサーバーに対して更新プログラムを適用していない」が8.5%、「対応できているのか把握できていない」が4.2%となった。
「脆弱性が確認された全サーバーに対して更新プログラムを適用している」のは50.3%のみで、約半数が脆弱性の確認されたサーバーに対する更新プログラムの対応が十分にできていない状況が明らかになった。
|
勤務先の業務用サーバにおいて脆弱性が確認され、メーカからその脆弱性に対する更新プログラムが提供されている場合、必ず更新プログラムを適用していますか?(単一回答。n=515) |
また、メーカより提供されるサーバーの脆弱性に対する更新プログラムの適用において、「時間がかかる」という課題を感じているとの回答者が全体の69.9%となった。
時間がかかる理由としては、「計画的にサーバーを停止させる必要があるため(31.5%)」が最も多く、続いて「検証期間に時間がかかるため(29.3%)」「作業スケジュールを確保するのが困難なため(27.2%)」「サーバー毎に脆弱性を確認し、必要な更新プログラムを確認し準備するまでに時間と手間がかかるため(20.8%)」、「リソース不足のため(17.9%)」などの回答が挙がった。
スケジュールやリソース確保といった人的要因のほか、更新プログラムの事前準備や適用中のサーバーの停止など更新プログラムの運用面で多くの企業が課題を抱えていることが浮き彫りにとなった。
|
更新プログラム適用に時間がかかるのは何故ですか?該当する課題を全て選んでください。(複数回答。n=360) |
「全てのサーバーに対して更新プログラムを適用している」または「更新プログラムを適用できていないサーバーもある」の回答者を対象に、サーバーの脆弱性に対する更新プログラム適用の作業プロセスにおいて、その間に何か脆弱性対策として補完した対策を実施しているかを質問した。
その結果、40%程度が「特に何もしていない」「分からない」と回答であった。更新プログラム適用まで時間を要するという課題を抱える一方で、その脆弱性をついたサイバー攻撃に対するセキュリティリスクについても十分な対策がなされていないことがわかった。
|
更新プログラム適用完了までの期間、何か脆弱性対策として実施しているものはありますか?(複数回答。n=398) |
さらに、サーバーOSの更新プログラムの適用の遅れ、もしくは未適用が原因で、業務用サーバーが外部から攻撃などを受けたことがあるかの質問に対して、15.1%が「経験あり」と回答。実際に外部からの攻撃を受けた経験を持つ回答者が一定数存在することがわかった。
