社内システムの脆弱性対応まで62日――パッチ作業の遅さに懸念

社内システムの脆弱性に対応するパッチ作業には、一般的に62日もかかっている。脆弱性実証コードの登場が早まっていることもあり、セキュリティ企業幹部は積極的な対処を呼びかけている。(IDG)

» 2004年07月29日 17時02分 公開
[IDG Japan]
IDG

 企業は、社内システムの致命的な脆弱性にパッチを当てる作業に時間をかけすぎており、依然として外部からの攻撃からシステムを守るのに苦労している。Qualysのトーマス・エシェルベックCTO(最高技術責任者)は、米ラスベガスで開催のBlack Hatカンファレンスでこう話した。

 同氏によると、社内システムの致命的な脆弱性に対応する標準的な“半減期”――脆弱性を抱えるシステムの半分にパッチを当てるまでの時間――は、62日間と不安が残る数値になっている。同氏は企業に40日以内の対応を目指すよう提言しているが、実際にはそれを22日ほど上回っていることになる。

 またエシェルベック氏によると、企業が社外システム(インターネットに直接つながっているシステム)の致命的な脆弱性に対応するパッチ作業時間は、昨年の平均30日から、ほぼ専門家の予測通りの21日に改善された。それでもまだ、多くの企業が対応に21日以上かけていることになる。脆弱性実証コードが出回るまでの時間も短くなっており、このためパッチ作業時間の短縮が一部相殺されている。

 このデータはQualysが2002年1月から行ってきた660万件のスキャン結果から割り出したもの。スキャンの70%はQualysの顧客が行ったもので、残りは同社サイトの訪問者がオンラインスキャンを実行した際のデータだ。侵入者にシステムを乗っ取られたり、データの損失を招くような「緊急」に分類される脆弱性は、総計で2275個検出された。

 エシェルベック氏がプレゼンの際に挙げた致命的な社内システムの脆弱性ワースト10がすべてMicrosoft製ソフト絡みだったのは、同社の独占状況を考えれば意外なことではない。致命的な社外システムの脆弱性ワースト10の方にはさまざまなシステムが入っているが、そこでもMicrosoft製品の問題が際立っている。

 このリストに載っている脆弱性の半分は、昨年と同じものだという。エシェルベック氏は同じワームが再発する傾向がある点に言及し、「ウイルスの中には繰り返し発生するものがある。こうしたウイルスは新たな繁殖地を見つけ、人間のウイルスのように新たな犠牲者を見つける」と指摘した。

 「Webブラウザ、データセンター、メールサーバなどの社内システムの脆弱性は、常に最も致命的な脆弱性リストの上位に食い込んでいる。ほとんどの場合、ネットワークの内側にあるシステムにパッチを当てるよりも先にワームが広がり出す。組織は社内システムの保護に、もっと積極的になる必要がある」(エシェルベック氏)

 エシェルベック氏は、どの脆弱性が一番重要なのかを評価するよう助言している。「組織としてすべての脆弱性に対応する必要はない。最も影響を受ける脆弱性にのみ対応しなくてはならない」

 エシェルベック氏によるBlack Hatでのプレゼンの詳しいサマリーは、こちらに掲載されている。

Copyright(C) IDG Japan, Inc. All Rights Reserved.

注目のテーマ