デバイスのセキュリティを向上させる最も簡単な方法は、OS、ブラウザ、その他のソフトウェアを最新バージョンにアップデートすることです。アップデートによって既知の脆弱性が修正されたり、アプリの防御力が強化されたりすることがよくあります。しかし、「セキュリティ評価の標準」を自称するBitSightの最新レポートによると、多くの組織が管理すべき多数のデバイスのOSやブラウザをアップデートしていないことが示されています。
同社はレポートの中で、「2,000以上の組織が、コンピュータの50%以上を旧バージョンのオペレーティングシステムで運用している」と述べており、その結果、「公表された侵害を経験する可能性はほぼ3倍」となる。「公表された」という点に注目してほしい。他の組織が侵害を受けるのは、旧バージョンのオペレーティングシステムを使用しているため、侵入に気づかなかったり、隠蔽したりしている可能性が高いのだ。
BitSightによると、組織がmacOSの最新ポイントリリースをインストールするには、少なくとも1ヶ月かかることが多いという。Appleはこれらのアップデートを既知の脆弱性に対するパッチの配布に利用することが多く、つまり、これらの組織はパッチのインストールを待つことで自らリスクを負うことになる。Windowsユーザーも同様で、BitSightによると、3月の時点ではレポートで調査対象となったWindowsユーザーの約50%がWindows 7を使用していた。さらに20%がWindows XPまたはVistaを使用していた。
BitSightによると、さらに8,500の組織が、50%以上のコンピュータで古いブラウザを使用しており、公開された侵害の被害に遭う可能性が2倍に高まっているという。ブラウザのアップデートのインストールが簡単であることを考えると、これは特に懸念される。Google ChromeとMozillaのFirefoxはデフォルトで自動アップデートされる。一方、Microsoft EdgeとAppleのSafariは通常、それぞれのOSと同時にアップデートされる。これらのブラウザを使用している組織がOSのアップデートをインストールしていない場合、結果としてEdgeやSafariも古いバージョンを使用している可能性が高い。
BitSightは、この調査結果を5月に世界を席巻したランサムウェア攻撃「WannaCry」と関連付けました。この攻撃は、Microsoftが3月にパッチを当てていたWindowsの脆弱性を悪用していました。この攻撃が拡大した主な理由は、多くの組織がソフトウェアを最新の状態に保っていないことです。これを受け、MicrosoftはWindows XP、8、その他の旧バージョンのOS向けにパッチをリリースし、攻撃を阻止しました。
一部の組織では、正当な理由からWindowsやmacOSの旧バージョンを使用しています。重要なソフトウェアが最新バージョンのOSと互換性がない可能性があり、企業は代替ソリューションを探すか、ニーズを満たすWindowsまたはmacOSのバージョンを使い続けるかの選択を迫られます。これは容易な決断ではありません。特にWannaCryのような攻撃が話題になっている今、なおさらです。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
これは、古いブラウザで問題が発生する原因となる可能性があります。新しいOSリリースにブラウザのアップデートがバンドルされるだけでなく、企業はブラウザの新しいバージョンにアクセスするために、最新のOSの使用を要求することがよくあります。
BitSightのレポートは、デバイスのこれらの重要な部分を更新しないことがいかに危険であるかを示しています。企業がアップデートをリリースする理由は様々ですが、必ずしも新しく魅力的な機能が追加されているからとは限りません。多くの場合、脆弱性が公表または非公開で公開され、顧客がその影響を受けないようにするためです。これらのアップデートをインストールしないと、これまでの努力がすべて無駄になってしまいます。
BitSight の完全なレポートはここからご覧いただけます (ただし、レポート全体をダウンロードするには個人情報をご提供いただく必要があります)。また、主要な調査結果はプレス リリースにまとめられています。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
