61%「未適用パッチ有」と回答、企業の脆弱性管理に関する実態調査
株式会社ブロードバンドセキュリティ(BBSec)は10月23日、株式会社イードと共同で企業の脆弱性管理に関する実態調査を行ったと発表した。
調査・レポート・白書・ガイドライン
調査・ホワイトペーパー
PR
調査では未適用のパッチ有無について確認したところ、61.1%が有ると回答、その理由として「資産管理がなされていない、充分に行われていない(38.1%)」が最も高く、「テスト環境がない(30.6%)」「人手不足(29.4%)」が続いた。また「経営の理解が得られない(20.3%)」「運用サイドの協力が得られない(19.0%)」などの根本的な組織的理解の不在も明らかになった。
また、情報システム部門が1名の場合、未適用パッチ有りは31.8%に対し、情報システム部門の人数が51名以上の場合、未適用パッチ有りは75.0%となり、情報システム部門の人数は組織規模に比例し、規模が大きいほど運用システム数も多くなり、脆弱性を抱えたままのシステムが多くなる傾向が判明した。
さらに、パッチ情報が公開されてから情報を入手するまで、入手した情報をもとに検証を行い適用するまでの時間に関する質問に対し、いずれも約半数が72時間以内と回答、情報システム担当者は、不充分な資産管理やテスト環境の未整備、人手不足、非協力的な現業部門、経営の無理解など、著しく厳しい条件のもとで、多忙な通常業務をこなしながら、不定期なパッチ適用に対し極めて迅速に対応している実態が明らかになった。
なお、自社開発のシステムやWebアプリケーションなどの脆弱性を検知する目的で脆弱性診断サービスを実施したことがあるという回答は76.9%であった。
同社では、本調査結果について10月28日と30日に以下の概要でウェビナーを開催する。
日時:10月28日午前10時30分から11時30分
タイトル:500人に聞きました「あなたの会社の脆弱性管理・パッチ管理は大丈夫ですか?」
登壇者:株式会社ブロードバンドセキュリティ セキュリティサービス本部 セキュリティ情報サービス部部長 田澤千絵氏
参加可能人数:100人
申込:https://www.cocripo.co.jp/webinar/detail/9e09fd6b-c28b-4bc6-bf90-3066a360a516
日時:10月30日午後2時から3時
タイトル:脆弱性管理、それでいいの?500人調査から見えること
登壇者:合同会社エルプラス 代表社員 杉浦隆幸氏
株式会社ブロードバンドセキュリティ セキュリティサービス本部 本部長 齊藤義人氏
参加可能人数:100人
申込:https://www.cocripo.co.jp/webinar/detail/0ad70a4d-3578-48cf-bdf9-bf2f96c2ad86
《ScanNetSecurity》