「ソフトウエアを開発および購入する際にセキュリティを重要視しない企業では、ソフトウエアの脆弱性によるダウンタイムが増加する。企業のシステムが停止する原因の中で、ソフトウエアの脆弱性が占める割合は、2004年の5%から2008年には15%に拡大する」。米Gartnerが米国時間9月13日に、企業のセキュリティ対策とシステムのダウンタイムについて調査した結果を発表した。
Gartner社副社長兼リサーチ担当者のJohn Pescatore氏は、「インターネットの利用が拡大するほか、Webサービスや無線接続など新しい技術の普及によって、システムの脆弱性が増す危険がある。このためソフトウエアの開発および購入においてセキュリティを優先事項に挙げない企業では、ダウンタイムが増加するだろう」と説明する。
Gartner社は“脆弱性”を、「ITセキュリティの脅威となり得るプロセス、管理、技術に関する弱点」と定義付けている。つまり脆弱性は、アプリケーション・スタックのレイヤーが内包していることもあれば、IT管理、プロセス、設計などの欠陥によって生まれる可能性がある。
Pescatore氏は、「ソフトウエアのセキュリティは、サーバーやパソコンに採用するOSやハードウエア・プラットフォームに基本的な修正を加えるだけで、飛躍的に向上できる場合がある。一方、顧客や従業員による不注意や、提携企業のプラットフォームに関連した新たな脆弱性については、そのつどセキュリティ対策を講じる必要がある」と述べた。
Gartner社は、ソフトウエアの脆弱性によるシステムのダウンタイムを減らすために、以下のようにアドバイスしている。
・自社製ソフトウエアの脆弱性を減らすように努力する
・セキュリティ標準に準拠したソフトウエア・アーキテクチャを採用する
・インターネットに接続するアプリケーションに、攻撃対象となりうる部分を限定するメカニズムを取り入れる
・ベンダーに、より安全なソフトウエアを開発するよう要求する |