61%「未適用パッチ有」と回答、企業の脆弱性管理に関する実態調査 | ScanNetSecurity
2024.02.21(水)

61%「未適用パッチ有」と回答、企業の脆弱性管理に関する実態調査

株式会社ブロードバンドセキュリティ(BBSec)は10月23日、株式会社イードと共同で企業の脆弱性管理に関する実態調査を行ったと発表した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー
PR
株式会社ブロードバンドセキュリティ(BBSec)は10月23日、株式会社イードと共同で企業の脆弱性管理に関する実態調査を行ったと発表した。本調査では、勤務先で「脆弱性管理」や「パッチ管理」の実施に関わる、企業の情報システム部門や総務担当者等507名を対象に8月6日から13日にかけてインターネット上でアンケートを実施、ソフトウェアの脆弱性をどのように管理しているかを明らかにした。

調査では未適用のパッチ有無について確認したところ、61.1%が有ると回答、その理由として「資産管理がなされていない、充分に行われていない(38.1%)」が最も高く、「テスト環境がない(30.6%)」「人手不足(29.4%)」が続いた。また「経営の理解が得られない(20.3%)」「運用サイドの協力が得られない(19.0%)」などの根本的な組織的理解の不在も明らかになった。

また、情報システム部門が1名の場合、未適用パッチ有りは31.8%に対し、情報システム部門の人数が51名以上の場合、未適用パッチ有りは75.0%となり、情報システム部門の人数は組織規模に比例し、規模が大きいほど運用システム数も多くなり、脆弱性を抱えたままのシステムが多くなる傾向が判明した。

さらに、パッチ情報が公開されてから情報を入手するまで、入手した情報をもとに検証を行い適用するまでの時間に関する質問に対し、いずれも約半数が72時間以内と回答、情報システム担当者は、不充分な資産管理やテスト環境の未整備、人手不足、非協力的な現業部門、経営の無理解など、著しく厳しい条件のもとで、多忙な通常業務をこなしながら、不定期なパッチ適用に対し極めて迅速に対応している実態が明らかになった。

なお、自社開発のシステムやWebアプリケーションなどの脆弱性を検知する目的で脆弱性診断サービスを実施したことがあるという回答は76.9%であった。

同社では、本調査結果について10月28日と30日に以下の概要でウェビナーを開催する。

日時:10月28日午前10時30分から11時30分
タイトル:500人に聞きました「あなたの会社の脆弱性管理・パッチ管理は大丈夫ですか?」
登壇者:株式会社ブロードバンドセキュリティ セキュリティサービス本部 セキュリティ情報サービス部部長 田澤千絵氏
参加可能人数:100人
申込:https://www.cocripo.co.jp/webinar/detail/9e09fd6b-c28b-4bc6-bf90-3066a360a516

日時:10月30日午後2時から3時
タイトル:脆弱性管理、それでいいの?500人調査から見えること
登壇者:合同会社エルプラス 代表社員 杉浦隆幸氏
    株式会社ブロードバンドセキュリティ セキュリティサービス本部 本部長 齊藤義人氏
参加可能人数:100人
申込:https://www.cocripo.co.jp/webinar/detail/0ad70a4d-3578-48cf-bdf9-bf2f96c2ad86

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 「セキュリティ技術者の“思考”を覗く」~ SHIFT SECURITY、17種類のサイバー攻撃の解説と対策資料公開

    「セキュリティ技術者の“思考”を覗く」~ SHIFT SECURITY、17種類のサイバー攻撃の解説と対策資料公開PR

  2. スパム電子メールを作成するPegasusトロイの木馬

    スパム電子メールを作成するPegasusトロイの木馬

  3. 勤務時間外の上司のメールは懲役 ~ 豪 つながらない権利法案 性急な法制化

    勤務時間外の上司のメールは懲役 ~ 豪 つながらない権利法案 性急な法制化

  4. セキュリティ強化費用で利益大幅減、エムケイシステムへのランサムウェア攻撃

    セキュリティ強化費用で利益大幅減、エムケイシステムへのランサムウェア攻撃

  5. 中小企業で数千万円単位の被害も、JNSA「インシデント損害額調査レポート 第2版」公開

    中小企業で数千万円単位の被害も、JNSA「インシデント損害額調査レポート 第2版」公開

  6. 住友重機械工業のサーバに不正アクセス、「なりすましメール」への注意喚起も発表

    住友重機械工業のサーバに不正アクセス、「なりすましメール」への注意喚起も発表

  7. 求職サイト「ホワイトメーカーズ」が改ざん被害、個人情報が外部流出した可能性否定できず

    求職サイト「ホワイトメーカーズ」が改ざん被害、個人情報が外部流出した可能性否定できず

  8. ISC BIND に複数の脆弱性、バージョンアップを強く推奨

    ISC BIND に複数の脆弱性、バージョンアップを強く推奨

  9. 臨床検査事業を行うアイルにランサムウェア攻撃、検体検査の遅延が発生

    臨床検査事業を行うアイルにランサムウェア攻撃、検体検査の遅延が発生

  10. ほくやく・竹山ホールディングスにランサムウェア攻撃、コールセンターとメールシステムは制限付きで稼働

    ほくやく・竹山ホールディングスにランサムウェア攻撃、コールセンターとメールシステムは制限付きで稼働

ランキングをもっと見る