トレンドマイクロは1月22日、2013年12月に実施した企業におけるシステムの脆弱性管理に関するWebアンケート調査(対象者:企業のIT管理者515名)の結果を発表した。

同調査では、自社の業務用端末のOSの修正プログラム適用状況を把握しているIT管理者のうち、4人に1人が、勤務先においてOSの修正プログラム未適用を原因とした不正プログラム感染を経験したことがあると回答した。

OSの修正プログラムの適用の遅れ、もしくは未適用が原因で、業務用PCが不正プログラムに感染した経験の有無について

さらに、「OSの修正プログラム適用前に検証を行う」としたIT管理者を対象に、検証にかかる平均時間を聞いたところ、「1週間以上かかる」とした回答者は6割を超えた。修正プログラム適用までに時間がかかり、OSの脆弱性によって不正プログラム感染のリスクにさらされている期間が発生している状況が明らかになった。

業務で使用しているPCのOSの修正プログラム適用について、1度の修正プログラムの検証にかかる平均的な時間

修正プログラム適用の課題については、「全てのPCへの適用に時間がかかる(32.0%)」「修正プログラムの検証に時間がかかる(29.7%)」「適用が確実に行われているか把握できない(29.1%)」などが主に挙げられた。

業務で使用しているPCのOSの修正プログラム適用についての課題(複数回答)

また、業務用PCの脆弱性管理について、約8割の回答者が「脆弱性の管理は複雑になりつつある」「修正プログラムの適用に時間がかかるのは仕方がない」と回答した。現状の業務用PCの脆弱性対策に課題を感じつつも、多くのIT担当者は迅速な修正プログラム適用は実質的に難しいと考えていることが浮き彫りになった。

業務PCで利用するOS、アプリケーションの脆弱性の管理に対する考え

また、「OSの修正プログラム適用前に検証を行う」としたIT管理者を対象に、検証期間中に行っているセキュリティ対策について聞いたところ、最も多かった「従業員への注意喚起」でも約3割、「OSの脆弱性を狙った攻撃を防ぐ製品の利用」については2割程度にとどまった。OSの脆弱性により不正プログラム感染のリスクが高い、修正プログラム検証期間中の脆弱性対策について、十分に実施されていないことが分かった。

業務用PCで利用しているOSの修正プログラムの検証期間中に行っているセキュリティ対策(複数回答)

トレンドマイクロによると、OSやアプリケーションの脆弱性対策では、自社で使用しているシステムのバージョンや修正プログラムの管理徹底が必要であり、すぐに修正プログラムが適用できない状況下でも、特定の脆弱性を狙った攻撃を防ぐ仮想パッチを活用するなど、脆弱性を狙った攻撃からユーザーのシステムを保護する対策を検討することが推奨されるとのことだ。