脆弱性を発見・検知できても修正が追い付かず、放置される実態が示されている。トレンドマイクロの調査によれば、日本の組織のパッチ適用に要する平均時間(MTTP:Mean Time To Patch)は36.4日であり、世界全体の平均よりも長いことが報告されている。深刻な人手不足や運用体制の課題が、セキュリティ運用を形骸化させる「死角」になっているという。
事案の詳細
セキュリティ対策では、脆弱性を見つけ出し、危険度を判断し、必要な修正を適切な順序で実施する一連の運用が欠かせない。ところが、検知の仕組みを整備しても、実際の修正作業まで到達しないケースが各種調査や報告で繰り返し指摘されている。日本の組織のMTTPが36.4日と、グローバル平均よりも長いことからも、検知から修正までのプロセスが滞り、脆弱性が一定期間放置されやすい状況がうかがえる。
また、検知はできているのに直せないというギャップが「死角」になっている点が焦点となっている。脆弱性情報やアラートが蓄積しても、修正対応が進まなければリスクは残り続ける。国内外の調査では、頻繁に悪用されている脆弱性に対するパッチ適用が後回しになり、システムが脆弱なまま運用されている事例が報告されており、こうした運用上の滞留がセキュリティの実効性を損なう要因として存在していることが示されている。
この「死角」の背景として、深刻な人手不足が挙げられている。脆弱性対応には、調査、影響範囲の確認、適用作業、動作検証など複数の工程が伴い、継続的な人員投入が必要になる。日本では、サイバーセキュリティ人材の不足や情報システム部門のリソース制約が指摘されており、保守・運用を外部ベンダに委託しているケースでは「いつ、誰が、どのように」パッチを適用するのかが明確でないため、結果としてシステムが脆弱なまま放置される状況が頻繁に報告されている。人手が足りない状況では、検知で得られた情報を修正へつなげる作業が滞り、結果として放置期間が長期化し得ることが問題として示されている。
影響と背景
脆弱性の放置が長期化すれば、組織のセキュリティ水準は実態として改善しにくい。検知を行っていること自体が対策の進展を保証するわけではなく、修正が追い付かない状態が続けば運用が形骸化する。国内のレポートでは、システムの安定性を過度に重視する文化や、レガシーシステムの長期運用・互換性の問題により、パッチ適用の優先順位が下がりやすい傾向も指摘されている。こうした構造的な制約が、検知と修正の間にギャップを生み、セキュリティの「死角」を形成している点が問題として取り上げられている。
さらに、管理対象の増加も背景としてある。サーバー、ネットワーク機器、従業員端末、IoT機器など管理すべき資産が多岐にわたる中で、限られた人員が全ての脆弱性に対応することは現実的ではなく、リスク評価や優先順位付けを伴わないまま「後回し」にされる脆弱性が生じやすい。その結果、攻撃者にとって利用しやすい既知の脆弱性が組織内に残存し、インシデントに直結するリスクが高まる。
対策・今後の展望
こうした課題は、検知の強化だけでは解決しない。実効性を高めるには、検知結果を修正へ結び付ける運用能力の確保が重要になる。人手不足が指摘される中で、対応の優先順位付けや作業の継続性を意識した運用が求められる。また、継続的なスキャンとリスク評価を行い、重要度の高い脆弱性から順にパッチを適用する体制の整備が不可欠とされている。
- 脆弱性対応のプロセス整備:検知から修正までの手順と役割分担を明確にし、誰が何をするかを事前に決めておくことで、滞留を発生させない運用設計を行う
- 対応の優先順位付け:限られた人員で処理する前提に立ち、深刻度や悪用状況、影響範囲に基づいて修正の順序や対象を整理し、重要な脆弱性を後回しにしない
- 人員体制の見直し:セキュリティ人材の確保・育成、外部ベンダとの役割整理などにより、修正作業が継続的に実施できる体制を確保し、検知だけで終わらない運用を目指す
- 定期的な診断とモニタリング:年1回以上を目安とした脆弱性診断やログ監視の仕組みを導入し、既知の脆弱性や設定不備を早期に把握して対処する
参照: 脆弱性放置が平均345日 検知はできても直せない「死角」の正体:深刻な人手不足が招くセキュリティの形骸化 – ITmedia