この調査はSecunia社が自社製品の「Secunia PSI」(コンピュータにインストールされているソフトのパッチ管理ツール)を過去7日間に新規導入したユーザー約2万人のPCで、計180万のアプリケーションのパッチ適用状況を調べたものです。以下は、その調査結果です。(Secunia社のサイトより)
Number of insecure applications per computer/user:
| 0 Insecure Applications: | 4.54% of computers |
| 0-5 Insecure Applications: | 27.83% of computers |
| 6-10 Insecure Applications: | 25.69% of computers |
| 11+ Insecure Applications: | 41.94% of computers |
調査結果から、利用している全てのソフトにパッチを当てているユーザは4.54%しかいないことが分かります。ユーザの94.56%は何らかの脆弱性を持ったソフトを利用しているとわけです。さらに、約42%のユーザは脆弱性があるソフトが11本以上も入っているPCを利用しています。
今回の調査対象ユーザは、ソフトのパッチ管理ツールを利用しようとしているぐらいですから、平均的なユーザよりもセキュリティの意識が高いと思われます。それでもこの結果なのですから、ほとんどのユーザのPCには脆弱性のあるソフトが存在していると考えてよいでしょうね。
■ソフトのパッチ管理は難しい
しかし実際問題、パッチ管理ツールなどを利用すれば別ですが、一般ユーザが自身のPCに入っているソフトのパッチを全て管理すると言うのは難しいと思います。理由は2つあります。
1.脆弱性、パッチリリースの情報を得られない
OSや、主要なブラウザなどであれば自動更新をしてくれますし(無効になっていなければですが)、多くの人が利用しているソフトであれば大きな脆弱性が発見された、または新しいパッチがリリースされたときにニュースになります。さらに、脆弱性対策情報データベース等もあります。しかし、全てのユーザがこういった情報を確認しているわけではありませんし、こっそりとパッチがリリースされ、ニュースにならないソフトも結構あるのではないでしょうか。
2.ユーザは自分が利用しているPCにどのようなソフトがインストールされているかを全て把握しているわけではない
これは結構あると思います。と言うのは、1つのツールをインストールした場合に、その他にも色々とツールがインストールされることが多いからです。例えばAdobe Readerをインストールしようとすると、他にもPhotoshop Album Miniなどをインストールしようとしますよね。もちろん、インストールしないようにすることも出来ますが、インストール画面を「はい」だけで進めてしまうと一緒にインストールされてしまいます。Adobe Readerは良いとしても、ユーザに別のツールも一緒にインストールしたことを告知しないソフトも時々います。また、もっと根本的な話ですが、PCの新規購入時に色々なソフトが入っていたりします。ユーザに対してこれらのソフトに対してパッチを当てろというのは、酷な話な気がします。
■対策
個人ユーザの場合では、ソフトの脆弱性管理というのは限界があるのかもしれません。個人で出来る対応としては、脆弱性が見つかってもニュースにならないようなマイナーなツールはあまり利用しないといったところでしょうか。しかし、フリーソフト好きな私としてはそれでは寂しいです。最近はVectorもバージョンアップ通知サービス(Vアップ通知)サービスを行っていますので、こういったサービスを利用して自身で利用しているツールの情報を収集しておく(フリーソフトはあくまでも自己責任ですし)、利用しないソフトはアンインストールしておくといったところが、個人ユーザで出来る対策でしょう。
企業の場合では、ある程度利用するソフトに制限をかけ(フリーソフトも推奨を決めておく等)、それらの脆弱性管理をしっかりとしておくといったところでしょうか。フリーソフト愛好者には不便極まりないですけどね。
結局、結論としてはソフトの脆弱性管理をしっかりと行いたければ、パッチ管理ツールを導入しようということで落ち着きそうです。Secunia社の思惑通りの結論ですね。
Interesting Statistics from the Secunia PSI Secunia 2008年1月9日
脆弱性は気にしない? PCユーザーの大半がパッチ修正を未適用 ITmediaエンタープライズ 2008年1月10日
「ソフトの脆弱性を修正しないまま使っているユーザーが95%強」との調査結果 日立システム情報セキュリティブログ 2008年1月16日
0 件のコメント:
コメントを投稿