脆弱性を治す平均日数は？ 情報流出を招く実態判明

脆弱性の修正対応に要した期間は、金融機関や教育機関では長期であることが分かった。

[鈴木聖子，ITmedia]

　金融機関などはアプリケーションやネットワークに存在する既知の脆弱性を長期間放置する傾向があり、情報流出の危険に自らをさらしかねない状況に陥っている――。セキュリティ企業の米NopSecが6月2日に発表した脆弱性リスク管理の実態に関する報告書でそう指摘した。

　同社は過去20年あまりにわたって米政府の脆弱性情報データベース（NVD）に記載された脆弱性約6万5000件と、各業界で報告された脆弱性2万1000件あまりについて分析し、業界ごとの対応状況などを調べた。

　それによると、過去20年で脆弱性情報が公開された件数はMicrosoftとAppleの製品が圧倒的に多く、危険度ではAdobe、Apple、Microsoft、Mozilla、Oracle製品の脆弱性が際立っていた。

業種別の脆弱性対応日数（NopSecより）

　こうした既知の脆弱性を修正するまでに企業などが要した期間は平均で103日だった。業界別に見ると、クラウド事業者が平均50日以内に修正していたのに対し、医療機関は97日、金融機関や教育機関は対応までに176日もかかっていることが分かった。

　NopSecは「こうした組織ではほぼ半年の間、情報流出の危険に自らをさらしていることになる」と解説する。さらに、金融機関では脆弱性の32％が1年以上も放置されていることも判明したという。

ネットワークの修正が長期の傾向に（同）

　アプリケーションの脆弱性に比べ、ネットワークの脆弱性は修正までに時間がかかる傾向も浮き彫りになった。アプリケーションの脆弱性は平均すると20日以内に修正されていたのに対し、ネットワークの脆弱性の場合は平均で182日間も放置されていた。

　NopSecでは今回の調査結果について、「企業は潜在的リスクへの警戒を促されているにもかかわらず、依然としてシステムの脆弱性や設定ミスが大きな代償を伴うセキュリティ侵害の根本原因になっている。脆弱性が悪用される可能性を閉ざし、攻撃者との競争に勝つためには、現状よりも大幅に動きを速める必要がある」と指摘している。