米PatchLinkは米国時間7月30日,企業のセキュリティ担当者に対して実施した調査の結果を発表した。それによれば,回答者の54%が最も懸念しているセキュリティ上の問題として「ゼロデイ攻撃に対するぜい弱性」を挙げた。2位は「ハッカー」(35%),3位が「マルウエア/スパイウエア」(34%)だった。

 調査は,欧州,アジア太平洋地域,米国を拠点とする企業のCIO(最高情報責任者),CSO(最高セキュリティ責任者),ITマネージャなど250人以上を対象に実施した。

 米IDCの調査ディレクタのCharles Kolodgy氏は次のように述べている。「金銭的な動機を持つ攻撃者は,特定のアプリケーションにおける未公開のぜい弱性を,これらが修正される前に攻撃するような高度なマルウエアを作成している。問題は,絶えず存在する人的要因によってさらに悪化する。ユーザーの振る舞いは制御するのが難しく,攻撃者はユーザーが誤った判断をすること見込んでこれを悪用している」。また,攻撃者は,多くのIT部門がゼロデイ攻撃の対策に必要なリソースを持ち合わせていない弱みにもつけ込んでいると,Kolodgy氏は指摘している。

 調査によれば,企業はこれらの懸念事項に対応するために,「より迅速な修正」「包括的なリスク評価」「優先順位付け」が役立つと考えていることがわかった。2006年の調査結果と比べて,IT管理者が緊急パッチを適用するまでの時間が短くなっている。2006年の調査では,緊急パッチを2時間以内に適用した企業は全体の14%だったが,2007年には29%に増えている。60%の回答者は,ぜい弱性管理プロセスにおいて,エージェントとネットワーク・ベースのぜい弱性スキャンを加えている。その結果,99%の回答者は自分の組織が2006年よりも安全になったと考えている。

 企業にとって,ユーザーの振る舞いの効率的な管理や,ぜい弱性を攻撃されるまでの時間が短くなっていることなどが,ゼロデイ攻撃への対応の課題になっているという。そのため,企業はセキュリティ製品や監視にかける時間を増やすほか,ポリシーのアップデートなどに取り組んでいるという。

発表資料へ