米QualysのCTO兼エンジニアリング担当副社長のGerhard Eschelbeck氏は,ネットワークのぜい弱性に関して調査した結果を米国時間11月15日に発表した。同氏によれば,2004年はパッチ適用の取り組みでで大きな改善が見られたものの,3台中2台のシステム,すなわち70%のシステムに攻撃を受ける可能性があるぜい弱性が潜んでいるという。
調査によれば,企業のパッチ適用プロセスが内部システムで23%,外部システムで10%向上している。しかし,自動化された攻撃によるシステムへの侵入サイクルが短くなっており,これらの攻撃によるダメージの85%は,発生してから最初の15日間に起きているという。また,現時点で無線システムへの脅威は小さいことがわかった。無線デバイスのぜい弱性の問題はおよそ2000件中で1件だけだった。
その他にも,ぜい弱性の問題がサーバー側からクライアント側に大きく移行していることも明らかになった。新しい重大なぜい弱性の問題の60%以上がクライアント・アプリケーションのものだった。クライアント側のぜい弱性は,悪意のあるWebサイトの訪問や感染した電子メールの添付ファイルといったユーザーのアクションが引き金となって被害をもたらしている。
同氏は,「2005年は,ぜい弱なシステムのパッチ適用とアップデートの取り組みが向上した年となった。これは,米Microsoftなどのベンダーがパッチのアップデートを含む勧告を定期的に発行していることが大きな要因となっている。そのため,企業内における優先順位付けと問題点修正の取り組みが早くなった」とコメントしている。
報告によれば,ぜい弱性のあるシステムは,一度にパッチを適用して修正されるのではなく,一定の期間ごとに半分ずつ減らされていく傾向にある。外部システムのぜい弱性に関して,同年の半減期は前年の21日から19日に短縮された。また,システム内部のぜい弱性では,半減期のタイムフレームが62日間から48日間にまで短縮されたという。
同氏は,「90%の脅威は10%のぜい弱性によってもたらされる」として,システムのセキュリティを向上させるために,パッチ適用を優先的に行なうことを勧めている。「それぞれのネットワークで優先順位を付けて,もっとも多大な被害をもたらすぜい弱性に対してパッチを適用することが必要不可欠である」(同氏)
同氏は,3年間に渡り統計に基づいてぜい弱性データを分析して「Laws of Vulnerabilities(ぜい弱性の法則)」を発表してきた。今回の調査では,3200万のネットワークをスキャンして収集した2100万近いぜい弱性を分析している。
◎関連記事
■FIRST,ITコミュニティに脆弱性評価システム「CVSS」のテストを呼びかけ
■「企業のネットワーク・セキュリティ,OSよりセキュリティ製品の脆弱性が増加」,米調査
■WindowsのWMF/EMF画像レンダリング処理に「緊急」のぜい弱性,米Microsoftがセキュリティ情報を発表
■米Cisco,セキュリティ管理ソフトのぜい弱性を修正するアップデータを公開
■「ITマネージャが考える2005年ネットワーク・セキュリティの脅威はスパイウエア」,米WatchGuard
[発表資料へ]
