ブロードバンドセキュリティ、日本企業の脆弱性管理実態探る500名調査の結果公表
- 2020/10/27 10:30
- SecurityInsight
ブロードバンドセキュリティは10月23日、イード社と共同で行なった企業の脆弱性管理に関する実態調査の結果を公表した。その概要は以下のとおり。
1.6割が未適用パッチ有、原因は不充分な資産管理とテスト環境の不備
「自動アップデートが行われないソフトウェア、自社開発のソフトウェアやWebアプリケーション等に未適用のパッチはありますか」という質問に対して、61.1%が未適用のパッチがあると回答。未適用のパッチがある理由として「資産管理がなされていない、充分に行われていない(38.1%)」がもっと高く、「テスト環境がない(30.6%)」「人手不足(29.4%)」が続いた。また「経営の理解が得られない(20.3%)」「運用サイドの協力が得られない(19.0%)」などの根本的な組織的理解の不在も明らかになった。
2.未適用パッチは情報システム部門の人数に比例して存在
情報システム部門が1名の場合、未適用パッチ有りは31.8%に対して、情報システム部門の人数が51名以上の場合、未適用パッチ有りは75.0%となっている。情報システム部門の人数は、組織規模に比例し、規模が大きいほど運用システム数も多くなり、脆弱性を抱えたままのシステムが多くなる傾向が見て取れる。
3.パッチ情報入手とパッチ適用はいずれも72時間以内が半数
パッチ情報が公開されてから情報を入手するまで、そして入手した情報をもとに検証を行ない、それを適用するまでの時間に関しては、いずれも約半数が72時間以内と回答。
パッチ情報の入手から適用までの時間を情報システム部門の人数規模で比較すると、最も短い「入手から適用まで24時間以内」と回答した比率は、情報システム部門が1名の場合36.4%、情報システム部門が51名の場合38.2%と、その差2%未満というほぼ変わらない数値を示した。
4.脆弱性管理の最適化のために約8割の企業が脆弱性診断サービスを利用
ベンダーやセキュリティ機関等によって脆弱性公表がなされない、自社開発のシステムやWebアプリケーションなどの脆弱性を検知する目的で脆弱性診断サービスを実施したことがあるという回答は76.9%。ペネトレーションテスト(58.6%)やソースコード診断(55.8%)の利用も半数を超えており、DXを迎えようとする時代に、企業活動において専門セキュリティサービスを活用することが一般的になっていることを示している。