企業におけるサーバ脆弱性対策、更新プログラムを適用している企業は約半数

　トレンドマイクロは24日、「企業におけるサーバ脆弱性対策に関する実態調査2014」の結果を発表した。調査時期は2014年12月で、企業のサーバ運用に関わるIT管理者515名から回答を得た。

　それによると、「脆弱性のあるサーバに対して、メーカーよりその脆弱性に対する更新プログラムが提供された際に、必ず更新プログラムを適用しているか」という質問に対し、「更新プログラムを適用できていないサーバもある」との回答が27.0％、「対応できているのか把握できていない」との回答が14.2％になった。「すべてのサーバに対して更新プログラムを適用していない」との回答も8.5％存在する。逆に、「更新プログラムを適用している」のは残る50.3％のみとなる現状が明らかとなった。

　更新プログラムの適用について「時間がかかる」と感じているのは69.9％。その理由としては、「計画的にサーバを停止させる必要があるため」31.5％がもっとも多く、続いて「検証期間に時間がかかるため」29.3％、「作業スケジュールを確保するのが困難なため」27.2％といった回答も多い。具体的に、適用完了までにかかる平均期間を算出すると、「1週間程度」が54.5％、「半月程度」が8.5％、「1か月以上」が20.0％となっている。

　なおサーバに更新プログラムを適応している（「すべてのサーバに対して更新プログラムを適用している」または「更新プログラムを適用できていないサーバもある」の回答者）398名を対象に、サーバの脆弱性に対する更新プログラム適用の作業プロセスにおいて、「その間に何か脆弱性対策として補完した対策を実施しているか」を質問した結果、約4割は「特に何もしていない」「分からない」と回答している。一方で、「サーバOSの更新プログラムの適用の遅れ、もしくは未適用が原因で、業務用サーバが外部から攻撃などを受けたことがあるか」の質問に対して、15.1％が「経験あり」と回答している。