トレンドマイクロは2014年12月に企業のサーバ運用に関わるIT管理者515名を対象に行った「企業におけるサーバ脆弱性対策に関する実態調査 2014」の調査結果を公開した。その結果、全てのサーバに対して更新プログラムを適用している企業は50.3%に留まった。
脆弱性のあるサーバに対する更新プログラム適用の質問に対し、50.3%は全てのサーバに対して更新プログラムを適用していると回答した一方で、更新プログラムを適用できていないサーバもあるという回答が27.0%、全てのサーバに更新プログラムを適用していない企業が8.5%もあり、更新プログラムの対応が不十分な状況が明らかになった。
更新プログラムの適用には時間がかかるという課題を感じている回答者が69.9%いることが同社の調査で判明した。その理由に関する質問では、計画的にサーバを停止させる必要があるためという回答が31.5%、次いで検証期間に時間がかかる為という回答が29.3%、作業スケジュールの確保が困難なためという回答が27.2%となり、更新プログラム適用のための事前準備やサーバ停止など、企業は多くの問題を抱えていることが明らかになった。また、サーバの適用を行っている企業の更新プログラム適用の平均期間に関する調査では、54.5%が1週間程度かかっていると回答、8.5%が半月程度、そして20.0%は1か月以上かかっており、更新プログラム適用には長い期間がかかることも明らかになった。更新プログラム検証中や適用作業期間中の脆弱性対策に関する質問では、28.9%が特に何もしていないと回答した。また、サーバOSの更新プログラム適用の遅れや未適用が原因による業務用サーバの外部からの攻撃経験の質問に対し、15.1%が攻撃を受けた経験があることも判明した。
サーバの脆弱性を狙った攻撃は多く、脆弱性発見から更新プログラム適用までの期間、セキュリティリスクは高まる為、早期更新プログラム適用が重要となる。更新プログラム適用の間もIDS/IPSによる脆弱性対策を活用し、運用負荷を抑えながらセキュリティリスクを最小限に抑え、年末年始の長期休暇前に企業内サーバのセキュリティ状態の確認と脆弱性対策をしっかり行うよう推奨している。