プレスリリース

フレクセラ・ソフトウェア、年次レポート「脆弱性レビュー2017」を発表 適用すべきセキュリティパッチの増加と適用率の減少により ソフトウェアサプライチェーンが機能不全に

全脆弱性の 81 %でパッチが公開されているにもかかわらず、 一般的なソフトウェア・プログラムはパッチ未適用であることが明らかに

イリノイ州アイタスカ - 2017年4月6日 - フレクセラ・ソフトウェア合同会社(本社:東京都港区、以下 フレクセラ)は、「脆弱性レビュー 2017」を発表しました。本レポートは、同社でソフトウェア脆弱性の調査、開示情報の整理、検証を行っている部門の Secunia Research が年 に1 回発行しています。脆弱性レビューでは、脆弱性およびパッチの公開状況に関するグローバルなデータを提供し、セキュリティ脅威を IT インフラストラクチャに関連付ける一方、個人PC で利用されている人気アプリケーション上位 50 製品の脆弱性を検証しています。

脆弱性はセキュリティ問題の根本原因であり、ハッカーの侵入ポイントとして利用され、IT システムへのアクセスに悪用されるソフトウェアの不具合です。フレクセラの Secunia Research は 2016 年、246 社のベンダーの 2,136 製品について合計で 1万7,147 件の脆弱性を記録しました。セキュリティ侵害から自社のIT環境を必要な自動化を使わずに守ろうとしている IT チームが抱えている課題は、この問題の幅広さにあります。企業が自社環境のセキュリティを維持するには、利用されているアプリケーションの実態を IT チームが把握し、適切なポリシーと手順を完全に把握している必要があります。

脆弱性レビュー 2017の良いニュースは、脆弱性のほとんどは公表された時点でパッチが公開されていることです。2016年には、全ての脆弱性の81%と脆弱性の影響を受けたTop 50 Software Portfolioのアプリケーションの92.5%が、公表日にこれらの脆弱性に対応するパッチが公開されました。しかし、利用可能なパッチが増えても、パッチの適用率は減少しました。これは、ソフトウェアサプライチェーンが実際には機能していないという明確な指標です。ソフトウェア脆弱性管理システムは、企業が脆弱なアプリケーションやシステムを特定して優先順位を付けることができるようにし、統合されたパッチ管理を通じて問題を修復することで、その問題を解決するために設計されました。

フレクセラの Secunia Research 担当ディレクタである Kasper Lindgaard は次のように述べています。
「ソフトウェアサプライチェーンは業界でも非常にユニークな存在です。悪用されるおそれのある脆弱性を含む製品をソフトウェア製作者がリリースしてしまい、顧客に問題が発生するケースは決して珍しいことではありません。ソフトウェアを購入する人が、ソフトウェアの購入、管理、セキュリティについて細心の注意を払う必要があるのはそのためです。Secunia Research が発行したレポートで詳しく説明していますが、脆弱性が判明した時点でその大半のパッチが公開されています。企業はこのことを認識し、パッチを迅速に適用する必要があります」

PDF リーダー
PDF リーダーのほとんどは、パッチが適用されていません。たとえば Adobe Reader は多くの人が利用しており、よく利用されているソフトウェア製品の上位 50 のうち 31 位にランクインし、PC の 40 %にインストールされています。Adobe Reader は市場シェアが高く、脆弱性の数が非常に多いソフトウェアですが、多数のパッチが公開されているにもかかわらず、私的に利用しているユーザーの 75 %(2016 年)はパッチを適用していません。

パッチ適用率とゼロデイ脆弱性
脆弱性レビュー 2017 では前年比較も行っています。公には周知されていない脆弱性のことを「ゼロデイ脆弱性」と呼びますが、2016年のゼロデイ脆弱性の数は 22 件で、2015 年よりも若干減りました。個人PC にインストールされている、利用ソフト上位 50 に入る Microsoft 製品および非 Microsoft 製品に含まれる脆弱性の比率はそれぞれ 22.5 %と 77.5 %で、かなりの開きがあります。大半の脆弱性(81 %)は、判明したその日にパッチが公開されており、その後 30 日以内にパッチが公開されたのは、わずか 1 %でした。特に、管理対象デバイス(会社のネットワークに常時接続するわけではないデバイスを含む)の数が非常に多い企業は十分な保護を実現するため、様々なソフトウェア脆弱性管理の取り組みが必要です。

■脆弱性レビュー 2017 の主な調査結果

すべてのアプリケーションの脆弱性総数

  1.  フレクセラの Secunia Research は 2016 年、246 社のベンダーの 2,136 製品に合計で1万7,147 件の脆弱性があると記録しています。
  2. この年、すべての製品の脆弱性のうち 81 %は、それが判明した日にパッチが公開されました。
  3. 2016 年に見つかったゼロデイ脆弱性の数は合計 22 件で、前年に比べ 4 件減少しました。
  4. 2016 年に公開された勧告 3,416 件のうち 18 %が「非常に危険」にランクされ、「極度に危険」は0.5 %でした。
  5. 2016 年、5 大主要ブラウザ(Google Chrome、Mozilla Firefox、Internet Explorer、Opera、Safari)に 713 件の脆弱性が見つかりました 。これは、2015 年比 27.5 %減です。
  6. 2016 年、5 大主要 PDF リーダー(Adobe Reader、Foxit Reader、PDF-XChange Viewer、Sumatra PDF、Nitro PDF Reader)に 289 件の脆弱性が見つかりました。

個人PC で利用されている人気アプリケーション上位 50

  1. 個人PC で利用されている人気アプリケーション上位 50 のうち25 製品に、1,626 件の脆弱性が見つかりました。
  2. 2016 年に個人 PC で利用されている人気アプリケーション上位 50 で見つかった脆弱性の77.5 %は非 Microsoft アプリケーションに関するもので、Windows 7 オペレーティング・システムの9 %、あるいはMicrosoft アプリケーションの13.5 %を大きく上回りました。
  3. 上位 50 製品のうち非 Microsoft アプリケーションの 15 製品が占める割合は 29 %にすぎませんが、上位 50 製品で見つかった脆弱性のうち 77.5 %はこれらの製品に関係するものです。Microsoft アプリケーション(Windows 7 オペレーティング・システムを含む)は上位 50 製品の 71 %を占めますが、これらの製品に関係する脆弱性はわずか 22.5 %でした。
  4. 非 Microsoft アプリケーションの脆弱性が占める割合は、5 年以上にわたり、上位 50 製品のおよそ 78 %前後で推移しています。
  5. 2016 年、人気アプリケーション上位 50 製品の脆弱性の総数は 1,626 件で、この 5 年間で 15 %増加しました。フレクセラの Secunia Research はそのほとんどを、「非常に危険」(65 %)または「極度に危険」(7.5 %)に分類しています。
  6. 2016 年、上位 50 製品の脆弱性の 92.5 %は、判明したその日にパッチが公開されています。

脆弱性レビュー 2017 について
フレクセラの Secunia Research が提供するこの年次脆弱性レビューでは、脆弱性の視点からソフトウェア・セキュリティの進化を分析しています。脆弱性の状況とパッチの公開状況に関するグローバルなデータを提供し、セキュリティ脅威を IT インフラストラクチャに関連付ける一方、個人 PC で利用されている人気アプリケーション上位 50 製品の脆弱性を検証しています。

人気アプリケーション上位 50 製品の確認(人気上位 50 製品)
エンドポイントの無防備性を評価するために、フレクセラでは、エンドポイントで一般にインストールされている製品の種類を分析しました。この分析のため、2016 年に Personal Software Inspector ユーザーのコンピュータ(インストールされているプログラムの数は平均 75)をスキャンして収集した匿名データを使用しています。インストールされているアプリケーションの種類は、国ごと、地域ごとに違いがあります。フレクセラでは、明確化を図る目的で、コンピュータに最もよくインストールされていた上位 50 アプリケーションの代表的なポートフォリオの状況に焦点を絞りました。このうち、Microsoft アプリケーションは 35、非 Microsoft アプリケーションは 15 です。

調査手法
脆弱性管理の分野における調査では、脆弱性の数をカウントするためのさまざまな方法が採用されています。Secunia Research では、脆弱性が見つかった製品別に脆弱性の数をカウントしています。フレクセラはこの方法を使用して、お客様が必要とする情報のレベルを明らかにするとともに、お客様の環境を安全に保っています(特定の脆弱性の影響を受けるすべての製品に関する検証済みの情報)。

# # #

Flexera Software をフォローする…

Flexera Software について
Flexera Software は、アプリケーション製作者や企業がアプリケーションの利用率とセキュリティを高め、ソフトウェアを通してより多くの価値を得ることができるよう、サポートを提供しています。Flexera Software のソフトウェア・ライセンシング、コンプライアンス、サイバーセキュリティ、およびインストールの各ソリューションは、変化し続けるテクノロジのリスクとコストに対して継続的なライセンス・コンプライアンス、ソフトウェア投資の最適化、将来に対応できるビジネス組織の実現を支援するソリューションです。25 年以上にわたり市場を牽引している Flexera Software は、中立的で信頼性の高い知見と専門技術の発信源として、また、製品を通して自動化やインテリジェンスを提供する企業として、80,000 社を超えるお客様から高く評価されています。詳細は、次の Web サイトを参照してください。URL: http://www.flexerasoftware.jp

お問い合わせ:

Flexera
Amanda Ingalls
(949) 241-1515
aingalls@flexera.com

*第三者の商標は、それぞれの所有者に帰属します。