情報処理推進機構(IPA)は2012年2月24日、国内企業を対象に実施した、情報セキュリティに関する調査の結果を公表した。それによると、サーバーにウイルス対策ソフトを導入している企業は8割以上だったが、パッチを確実に適用しているのは4割程度だった。
IPAでは1989年度以降、国内企業を対象に、情報セキュリティに関するアンケート調査を毎年実施している。今回公表されたのは、2010年4月から2011年3月までの状況を尋ねた2010年度版の調査結果。1万2000社に調査票を送付し、1642の企業から回答を得た。内訳は、従業員300人以上の企業が833社、それ未満が809社。
ウイルス対策ソフト(セキュリティソフト)の導入状況に関する設問では、「社内パソコンの9割以上に導入」と回答した企業が全体の92.6%。サーバーで「9割以上に導入」と答えた企業は、メールサーバーやWebサーバーのように、外部に公開しているサーバー(ネットワークサーバー)についてが87.0%、社内のサーバー(ローカルサーバー)についてが81.1%だった。
一方で、セキュリティパッチの適用率はそれほど高くなかった。「ほぼ全てのサーバーに計画的に適用している」と答えた企業は、公開サーバーについては42.4%、社内サーバーについては40.1%(図1)。
サーバーにパッチを適用しない場合があることの理由としては、「パッチの適用が悪影響を及ぼすリスクを避けるため」が73.4%と最も多く、「パッチを適用しなくても問題ないと判断したため」(26.1%)、「パッチの評価や適用に多大なコストがかかるため」(15.6%)と続く(複数回答)。
社内のパソコンに対するパッチ適用については、37.3%が「常に適用し、適用状況も把握している」と回答(図2)。次いで、「常に適用する方針・設定だが、実際の適用状況は不明」(27.7%)、「各ユーザに適用を任せている」(17.2%)。11.3%の企業は、「ほとんど適用していない」と答えた。
ウイルス(マルウエア)に関する設問では、13.5%の企業が、2010年度中に感染したことがあると回答(図3)。およそ半数の企業は、感染も発見もしなかったと答えた。
