セキュリティホールに対する企業のパッチ対応が迅速化--米調査

　ラスベガス発--新しい調査結果によると、次々と現れる脅威にせかされ、ネットワーク管理者たちは、広く知られたセキュリティホールに対して迅速に対応するようになっているという。

　脆弱性評価専門のQualysが、当地で開催中のBlack Hat Security Briefingsで米国時間28日に発表した調査結果によると、2003年には30日だった「脆弱性の半減にかかる時間（脆弱性のあるコンピュータの半分を修正するのにかかる時間）」が、2004年には21日に減少したことがわかった。

　しかし、調査からは、インターネットに直接接続しているシステムだけに改善傾向が見られることが分かった。管理者は、LANに接続されたPCについては、インターネットに接続されたものと比べて安全だと思っているせいか、パッチをあてるまでにもっと時間がかかっている。企業は社内システムに対し、62日以内にパッチを当てていることが2004年の調査結果から判明した。Qualysは、2003年には同様の調査を行っていない。

　「企業が社内で直面する課題は、10倍複雑である」と、Qualys最高技術責任者（CTO）のGerhard Eschelbeckは述べた。

　今回発表された数字は、模範的な企業がどれだけ迅速にシステムにパッチをあてるかを表したものに過ぎない。というのもQualysは、自社の顧客から匿名データを収集して集計しているからだ。これらの顧客はQualysの脆弱性検出サービスを利用しており、一般的にセキュリティに無関心な企業より、熱心にセキュリティ対策を施す。インターネットに接続している平均的レベルの企業は、そんなに迅速には対応していないだろうと、Qualysはいう。

　企業がシステムをなかなかアップデートしないため、Microsoftのようなソフトウェアメーカーは、ユーザーの安全性を確保するためのより良い方策を模索せざるを得なくなった。これまでシステムをアップデートしてこなかった企業は自分たちのシステムを修正する必要があると、Eschelbeckは述べた。

　「問題を特定することが最初のステップで、次は個々の問題がどれだけ重大かを把握することだ」（Eschelbeck）

　また、企業のシステムがインターネットに接続する平均時間が減れば、ワーム作者が脆弱性を悪用してプログラムをまき散らすチャンスも減少する。

　「ワームは、最初の2つの半減期に最も活発に活動する。この時期の活動で拡大の成否が決まるので、これが一番大事な時期だと言える」（Eschelbeck）