6割以上の企業で未適用パッチあり。最も多くあがった原因は資産管理の不備

「脆弱性」とは、サーバやWebアプリケーション、ネットワーク機器などに発生したプログラム上の欠陥で、「セキュリティホール」とも言われている。この脆弱性を塞ぐための修正プログラムを「パッチ」と呼ぶが、企業の脆弱性やパッチの管理はどの程度行われているのだろうか。

はじめに、「自動アップデートが行われないソフトウェアや自社開発のソフトウェア・Webアプリケーションなどに未適用のパッチはあるか」と質問すると、61.1％が「ある」と回答した。

未適用パッチがある理由を尋ねると、「資産管理がされていない、または十分に行われていない」との回答が38.1％と、最も多くあげられた。以下、「テスト環境がない」（30.6％）、「人手不足」（29.4％）と続く。また、「経営の理解が得られない」、「運用側の協力が得られない」など、管理の重要性に対する組織の理解が足りていない様子も明らかになった。

「情報システム部門の人数」に比例して「パッチ未適用」の割合が増える背景とは？

次に、「未適用パッチの有無と情報システム部門の人数」の関連を調べると、情報システム部門がひとりの場合は未適用パッチが「ある」が31.8％なのに対し、51人以上の場合では75％と増加した。情報システム部門の人数は組織規模に比例するが、規模が大きくなるにつれて運用システム数も多くなる。結果として、脆弱性を抱えたままのシステムも多くなってしまう傾向にあるようだ。

システム担当者がパッチを適用するまでの平均対応時間は？

まず、「パッチ情報が公開されてから入手するまでの時間」を尋ねたところ、「24時間以内」が25％、「72時間以内」が30.8％、「数日（4～5日）以内」が25.6％となり、「72時間以内」が最多だった。

次に、「パッチ情報を入手してから適用するまでの平均時間」を尋ねると、「24時間以内」が24.5％、「72時間以内」が26.2％、「数日（4～5日）以内」28.2％だった。

「パッチ情報が公開されてから入手するまで」、「パッチ情報を入手してから適用するまで」のいずれも、半数以上は72時間以内に対応していることがわかった。情報システム担当者は、多忙な業務の中でも、速やかに対応していることが結果に表れている。

「ひとり情シス」でもパッチ適用には迅速に対応

最後に、「情報システム部門の人数とパッチ情報を適用するまでの平均時間」の関連性を見てみると、「入手から適用まで24時間以内」と回答した人数の比率は、情報システム部門がひとりの場合に36.4％、51人以上の場合には38.2％と、両者に差は見られないことが判明した。いわゆる「ひとり情シス」の場合でも、迅速に対応している様子が垣間見える。

「情報システム部門に十分な人員やコストを割けない」などの理由で、システムの脆弱性を残したままの企業が少なからず存在するのが実情のようだ。企業が持つ情報資産は、顧客や従業員の個人情報など、機密性が高いものも多い。セキュリティの不備が信用問題とならないためにも、経営者は管理の実態を、今一度確かめる必要があるだろう。