脆弱性管理の希薄化は企業経営の命取りに──企業のシステム管理の実態に迫る

株式会社ブロードバンドセキュリティと株式会社イードは2020年10月23日、企業の脆弱性管理に関する実態調査の結果を共同発表した。調査期間は2020年8月6~13日で、企業や組織内の脆弱性管理やパッチ管理を実施する情報システム部門や総務部門の担当者507名より回答を得た。これにより、企業システムの情報セキュリティに関わる脆弱性管理の実態が明らかとなった。

6割以上の企業で未適用パッチあり。最も多くあがった原因は資産管理の不備

「脆弱性」とは、サーバやWebアプリケーション、ネットワーク機器などに発生したプログラム上の欠陥で、「セキュリティホール」とも言われている。この脆弱性を塞ぐための修正プログラムを「パッチ」と呼ぶが、企業の脆弱性やパッチの管理はどの程度行われているのだろうか。

はじめに、「自動アップデートが行われないソフトウェアや自社開発のソフトウェア・Webアプリケーションなどに未適用のパッチはあるか」と質問すると、61.1%が「ある」と回答した。
脆弱性管理の希薄化は企業経営の命取りに──企業のシステム管理の実態に迫る
未適用パッチがある理由を尋ねると、「資産管理がされていない、または十分に行われていない」との回答が38.1%と、最も多くあげられた。以下、「テスト環境がない」(30.6%)、「人手不足」(29.4%)と続く。また、「経営の理解が得られない」、「運用側の協力が得られない」など、管理の重要性に対する組織の理解が足りていない様子も明らかになった。

「情報システム部門の人数」に比例して「パッチ未適用」の割合が増える背景とは?

次に、「未適用パッチの有無と情報システム部門の人数」の関連を調べると、情報システム部門がひとりの場合は未適用パッチが「ある」が31.8%なのに対し、51人以上の場合では75%と増加した。情報システム部門の人数は組織規模に比例するが、規模が大きくなるにつれて運用システム数も多くなる。結果として、脆弱性を抱えたままのシステムも多くなってしまう傾向にあるようだ。
脆弱性管理の希薄化は企業経営の命取りに──企業のシステム管理の実態に迫る

システム担当者がパッチを適用するまでの平均対応時間は?

まず、「パッチ情報が公開されてから入手するまでの時間」を尋ねたところ、「24時間以内」が25%、「72時間以内」が30.8%、「数日(4~5日)以内」が25.6%となり、「72時間以内」が最多だった。
脆弱性管理の希薄化は企業経営の命取りに──企業のシステム管理の実態に迫る
次に、「パッチ情報を入手してから適用するまでの平均時間」を尋ねると、「24時間以内」が24.5%、「72時間以内」が26.2%、「数日(4~5日)以内」28.2%だった。

「パッチ情報が公開されてから入手するまで」、「パッチ情報を入手してから適用するまで」のいずれも、半数以上は72時間以内に対応していることがわかった。情報システム担当者は、多忙な業務の中でも、速やかに対応していることが結果に表れている。
脆弱性管理の希薄化は企業経営の命取りに──企業のシステム管理の実態に迫る

「ひとり情シス」でもパッチ適用には迅速に対応

最後に、「情報システム部門の人数とパッチ情報を適用するまでの平均時間」の関連性を見てみると、「入手から適用まで24時間以内」と回答した人数の比率は、情報システム部門がひとりの場合に36.4%、51人以上の場合には38.2%と、両者に差は見られないことが判明した。いわゆる「ひとり情シス」の場合でも、迅速に対応している様子が垣間見える。
脆弱性管理の希薄化は企業経営の命取りに──企業のシステム管理の実態に迫る
「情報システム部門に十分な人員やコストを割けない」などの理由で、システムの脆弱性を残したままの企業が少なからず存在するのが実情のようだ。企業が持つ情報資産は、顧客や従業員の個人情報など、機密性が高いものも多い。セキュリティの不備が信用問題とならないためにも、経営者は管理の実態を、今一度確かめる必要があるだろう。