“如果企业在开发或购买软件时不重视安全性，那么将面对软件脆弱性导致档机时间增加的问题。到2008年，在导致企业系统停止的原因中，软件的脆弱性所占的比率将从2004年的5％增加到15％”。美国Gartner于当地时间9月13日公布了关于企业的安全措施和系统档机时间的调查结果。

　　Gartner副社长兼主管调查业务的John Pescatore表示，“由于因特网应用范围扩大和Web服务及无线连接等新技术普及，有可能使系统脆弱性增加。因此，如果企业在开发及购买软件时没有将安全性列为优先考虑事项，那么将导致档机时间增加”。

　　Gartner将“脆弱性”定义为“可能威胁到IT安全的流程、管理以及技术方面的弱点”。也就是说，脆弱性既可能存在于application stack层内，也可能起因于IT管理、流程以及设计等缺陷。

　　Pescatore表示，“有时仅仅对服务器及个人电脑所采用的操作系统及硬件平台进行基本的调整，便可使软件的安全性飞跃性提升。而对于那些因为顾客或职员的不小心或与合作企业的平台相关的新的脆弱性，则需要随时采取安全措施”。

　　为了减少软件的脆弱性导致系统档机的时间，Gartner提出了以下建议。

·努力减少本公司开发软件的脆弱性

·采用符合安全标准的软件架构

·对于接入因特网的应用软件，应导入能够限制可能成为攻击对象部分的机制

·要求供应商开发更安全的软件

「ソフトウエアを開発および購入する際にセキュリティを重要視しない企業では、ソフトウエアの脆弱性によるダウンタイムが増加する。企業のシステムが停止する原因の中で、ソフトウエアの脆弱性が占める割合は、2004年の5％から2008年には15％に拡大する」。米Gartnerが米国時間9月13日に、企業のセキュリティ対策とシステムのダウンタイムについて調査した結果を発表した。

Gartner社副社長兼リサーチ担当者のJohn Pescatore氏は、「インターネットの利用が拡大するほか、Webサービスや無線接続など新しい技術の普及によって、システムの脆弱性が増す危険がある。このためソフトウエアの開発および購入においてセキュリティを優先事項に挙げない企業では、ダウンタイムが増加するだろう」と説明する。

Gartner社は“脆弱性”を、「ITセキュリティの脅威となり得るプロセス、管理、技術に関する弱点」と定義付けている。つまり脆弱性は、アプリケーション・スタックのレイヤーが内包していることもあれば、IT管理、プロセス、設計などの欠陥によって生まれる可能性がある。

Pescatore氏は、「ソフトウエアのセキュリティは、サーバーやパソコンに採用するOSやハードウエア・プラットフォームに基本的な修正を加えるだけで、飛躍的に向上できる場合がある。一方、顧客や従業員による不注意や、提携企業のプラットフォームに関連した新たな脆弱性については、そのつどセキュリティ対策を講じる必要がある」と述べた。

Gartner社は、ソフトウエアの脆弱性によるシステムのダウンタイムを減らすために、以下のようにアドバイスしている。

・自社製ソフトウエアの脆弱性を減らすように努力する

・セキュリティ標準に準拠したソフトウエア・アーキテクチャを採用する

・インターネットに接続するアプリケーションに、攻撃対象となりうる部分を限定するメカニズムを取り入れる

・ベンダーに、より安全なソフトウエアを開発するよう要求する