「企業におけるサーバ脆弱性対策に関する実態調査 2014」では、脆弱性のあるサーバに対して、メーカーからその脆弱性に対する更新プログラム（セキュリティパッチ）が提供された際に、必ず更新プログラムを適用しているのかを質問した。その結果、「更新プログラムを適用できていないサーバもある」との回答が27.0％を占め、「すべてのサーバに対して更新プログラムを適用していない」の回答は8.5％、「対応できているのか把握できていない」の回答は14.2％となった。


　「脆弱性が確認された全サーバに対して更新プログラムを適用している」のは50.3％のみで、残りの約半数は、脆弱性の確認されたサーバに対する更新プログラムの対応が十分にできていない状況が明らかになった。

　また、メーカーより提供されるサーバの脆弱性に対する更新プログラムの適用において、「時間がかかる」という課題を感じているとの回答者が全体の69.9％にのぼった。時間がかかる理由としては、「計画的にサーバを停止させる必要があるため（31.5％）」が最も多く、続いて「検証期間に時間がかかるため（29.3％）」、「作業スケジュールを確保するのが困難なため（27.2％）」、「サーバごとに脆弱性を確認し、必要な更新プログラムを確認し準備するまでに時間と手間がかかるため（20.8％）」、「リソース不足のため（17.9％）」が挙げられた。


　さらに、サーバに更新プログラムを適応している（「すべてのサーバに対して更新プログラムを適用している」または、「更新プログラムを適用できていないサーバもある」の回答者）398人を対象に、業務用サーバにおいて脆弱性が確認され、メーカーよりその脆弱性に対する更新プログラムが提供された際に、実際にその適用完了までにかかる平均期間を質問した。

　その結果、「1週間程度」と答えた回答者は54.5％、「半月程度」が8.5％、「1か月以上」かかると回答した人は20.0％と、8割以上の回答者が更新プログラムの適用までに約1週間以上の期間を要していることがわかった。

　サーバに更新プログラムを適応している（「すべてのサーバに対して更新プログラムを適用している」または「更新プログラムを適用できていないサーバもある」の回答者）398名を対象に、サーバの脆弱性に対する更新プログラム適用の作業プロセスにおいて、その間に何か脆弱性対策として補完した対策を実施しているかを質問した。その結果、約4割は「特に何もしていない」、「分からない」と回答した。


　さらに、サーバOSの更新プログラムの適用の遅れ、もしくは未適用が原因で、業務用サーバが外部から攻撃などを受けたことがあるかの質問に対して、15.1％が「経験あり」と回答した。

　トレンドマイクロは、「年末年始の長期休暇を前に、企業内のサーバのセキュリティ状態を再確認するとともに、サーバの脆弱性対策をしっかりと実施し、企業の情報資産管理のために万全な策を講じることを推奨します」とコメントしている。