1. 徹底されていないサーバの脆弱性対策。脆弱性のある全てのサーバに更新プログラムを適用している回答者は約半数のみ
脆弱性のあるサーバに対して、メーカよりその脆弱性に対する更新プログラムが提供された際に、必ず更新プログラムを適用しているか質問した結果、「更新プログラムを適用できていないサーバもある」との回答が27.0%を占め、「全てのサーバに対して更新プログラムを適用していない」の回答に至っては8.5%、「対応できているのか把握できていない」の回答は14.2%であった。
「脆弱性が確認された全サーバに対して更新プログラムを適用している」のは50.3%のみで、残りの約半数は、脆弱性の確認されたサーバに対する更新プログラムの対応が十分にできていない状況が明らかになった。
2. 時間を要する更新プログラムの適用プロセス。約7割が更新プログラム適用の際に「時間がかかる」ことを課題と認識
メーカより提供されるサーバの脆弱性に対する更新プログラムの適用において、「時間がかかる」という課題を感じているとの回答者は全体の69.9%にも上る。
時間がかかる理由としては、「計画的にサーバを停止させる必要があるため(31.5%)」が最も多く、続いて「検証期間に時間がかかるため(29.3%)」「作業スケジュールを確保するのが困難なため(27.2%)」「サーバ毎に脆弱性を確認し、必要な更新プログラムを確認し準備するまでに時間と手間がかかるため(20.8%)」「リソース不足のため(17.9%)」が挙げられている。
スケジュールやリソース確保といった人的要因のほか、更新プログラムの事前準備や適用中のサーバの停止など更新プログラムの運用面で多くの企業が課題を抱えていることが浮き彫りになった。
3. 放置される更新プログラム検証中のサイバー攻撃のリスク。約4割が、更新プログラム適用完了までの間の脆弱性対策実施なし・不明。 約15%が未適用期間に外部からの攻撃を経験
サーバに更新プログラムを適応している(「全てのサーバに対して更新プログラムを適用している」または「更新プログラムを適用できていないサーバもある」の回答者)398名を対象に、サーバの脆弱性に対する更新プログラム適用の作業プロセスにおいて、その間に何か脆弱性対策として補完した対策を実施しているかを質問した。
その結果、約4割は「特に何もしていない」「分からない」と回答。更新プログラム適用まで時間を要するという課題を抱える一方で、その脆弱性をついたサイバー攻撃に対するセキュリティリスクについても十分な対策がなされていない状況が明らかになった。
さらに、サーバOSの更新プログラムの適用の遅れ、もしくは未適用が原因で、 業務用サーバが外部から攻撃などを受けたことがあるかの質問に対して、15.1% が「経験あり」と回答しました。実際に外部からの攻撃を受けた経験を持つ 回答者が一定数存在することがわかった。
この調査により、約半数近くのIT管理者が、サーバの脆弱性が確認された際に提供される更新プログラムに対して十分な対応が取れていないことが判明。更新プログラムの適用には時間がかかり、また、更新プログラム適用完了までの間、その間脆弱性が放置されセキュリティリスクが高い状態となっている現状も明らかになったという。
サーバOSの更新プログラムの適用の遅れ、もしくは未適用が原因で、実際に業務用サーバが外部から攻撃などを受けたケースも散見され、サーバの脆弱性をついたサイバー攻撃が企業にとって身近な脅威になっていることも今回の調査から読み取れるとしている。
