ITチームの70%がセキュリティパッチの適用に6時間以上– IDCの最新調査
by Canonical on 16 June 2025
TL;DR(要約):
IDC の新調査によると、70%以上の IT チームが週に 6 時間以上をセキュリティパッチに費やしており、多くが業務負担と感じています。Ubuntu Pro のような自動化されたセキュリティ対応が注目されています。この調査は、CVE 対応やオープンソースの脆弱性管理にも言及しており、Ubuntu Pro の価値が改めて浮き彫りになりました。
————————————————————————————————————————————
CanonicalとIDC(International Data Corporation)社による最新の調査結果:企業はCVE(共通脆弱性識別子)パッチ適用の指令に従った修正の適用に苦労し、オープンソースサプライチェーンにおいて他にも重要な問題に直面
Ubuntuを提供するCanonicalは本日、ICDとの協力およびGoogle Cloudとの共同出資による調査レポートで、セキュリティパッチと規制適合の負担によって組織が直面する課題や圧力について新しい分析情報を発表しました。このレポート「The state of software supply chains: Security challenges, opportunities and the path to resilience with open source software(サプライチェーンの現状:オープンソースソフトウェアにおけるセキュリティ上の課題、機会、レジリエンスへの取り組み)」は、250人以上のフルタイム従業員を持つ500の組織に対し、自社が直面する最も切迫した問題について尋ねた調査の結果です。特に、脆弱性とパッチの管理、ソフトウェアの依存関係やソフトウェアのサプライチェーンの不明瞭さ、ソフトウェアのソースの信用性が問題として挙げられています。
10社のうち9社がOSパッケージに依存ファイルの提供を期待
企業はさまざまな理由でオープンソースソフトウェアを活用しています。レポートによれば、半数近い44%はコスト削減のため、36%は開発速度を上げる目的でオープンソースソフトウェアを採用しています。
しかし、これによってオープンソースソフトウェアのサプライチェーンを維持するという新しい課題が生じました。組織の57%はアップストリームのオープンソースリポジトリから、51%はpipやnpmなどのエコシステムからパッケージを取得しています。
調査では、10社のうち9社がOSからのパッケージ取得を希望する一方、実際にそうしているのは44%にとどまります。11%ながら社内でリポジトリを維持管理している企業もあります。
脆弱性パッチの適用義務化に確実に対応しているのは組織のわずか41%
オープンソースソフトウェアのセキュリティパッチと脆弱性の修正を維持するのは、組織にとって簡単ではありません。10社のうち7社がこれに週6時間以上を費やしています。毎週、担当者がまる1日近くをかけて手作業でパッチを適用していることになります。
CVE(Common Vulnerabilities and Exposures:共通脆弱性識別子)修正が義務化され、この負担はさらに重くなりました。組織の70%は「重要」と「緊急」のコンテナ脆弱性が特定されてから24時間以内に脆弱性パッチの適用を指示しますが、これを「非常に確実」または「まったく確実」に実行できると回答したのは41%にすぎません。
一方、組織は定期的なアップグレードより安定性を優先します。調査結果では、大半の組織がOSやアプリケーションをすぐには更新しません。50%以上の組織が、運用中のOSやアプリケーションを自動的には最新版にアップグレードせず、新しい機能が必要になったとき、あるいはアセットやアプリケーションが無償のセキュリティパッチを受け取れなくなったときまで待つと回答しています。
CanonicalのシニアパブリッククラウドイネーブルメントディレクターであるAaron Whitehouseは、次のように述べています。「2025年、組織は難しい課題に直面します。最新、最良のオープンソースを導入し、社内の開発チームが既存の技術を生かせるようにしなければならない一方、オープンソースの信頼できる提供元を見つけ、全社規模でセキュリティとコンプライアンスを維持するのは大変な作業だからです。これは、Ubuntu Proやコンテナ構築サービスの一環として提供しているExpanded Security Maintenance(ESM)など、この分野におけるCanonicalの取り組みの価値を裏付けています。」
AIの導入でセキュリティとコンプライアンスが複雑化
このような大きな課題に加え、クラウド管理、AIの導入、規制要件の増加など、2025年には新しい難題も山積しています。
すでに多くの組織はマルチクラウド環境やハイブリッド環境を導入しています。このような環境は複雑なため、クラウドを多用する組織がすでに直面しているように、設定ミス、IDやアクセスの管理、その他のセキュリティ管理に関する問題や懸念が生じます。
AIに関して言えば、組織の43%はAIスタックのセキュリティを確保する自社の能力に、大きな、または極めて大きな懸念を抱いています。また60%は、AI/MLシステムを保護するのに基本的なセキュリティ機能しかない、またはセキュリティ機能がまったくないことを認めています。
最後に、組織の37%は、具体的なシステム、テクノロジー、ソフトウェアコンポーネントにコンプライアンス規制がどのように適用されるのかを理解していません。コンプライアンスの形態は業界やユースケースによって異なりますが、FedRAMP、GDPR、HIPAAなど従来の規制、AI法などのまったく新しい規制を含め、コンプライアンスの枠組みの数が多いことが、サプライチェーンのセキュリティ規制適合をさらに厳しく難しいものにしています。組織の57%は、共通のコンプライアンスフレームワークを導入すればビジネスにとっても最も有利だろうと考えています。しかし、IT、セキュリティ、ビジネスの戦略に共通する総合的なアプローチを導入している企業は37%にすぎません。
課題への対応
サイバーインシデント、時代遅れのソフトウェアやインフラ、人員不足のリスク増大を考えれば、上記の課題はすべての企業にとって大きな意味を持ちます。
IDCのアソシエートリサーチディレクターであるGeorge Mironescu氏は、次のように述べています。「企業のソフトウェア利用が増え、サプライチェーンが複雑になるにつれ、依存関係を詳細に把握し、リスクや脆弱性に対処することが難しくなります。ITチームは、信頼できる形でソフトウェアスタックを管理することに苦労しています。しかし、社内のソフトウェアを危険にさらすことはだれにもできません。2025年における脆弱性管理、AI、規制コンプライアンスの課題を克服するには、基本的なセキュリティに加え、システムとサイバーセキュリティの長期的な持続可能性に対応する新しいアプローチとシステムを考える必要があるでしょう。」
企業は、ソフトウェアサプライチェーンをソフトウェア管理の中心に据え、脆弱性管理のための更新やパッチ適用を自動化するとともに、共通のコンプライアンスフレームワークやコンプライアンス自動化ツールで効率的に要件を満たすことで、このような困難に正面から取り組む必要があります。
分析情報、調査結果、アドバイスの詳細は、レポート全文をダウンロードしてご覧ください。
Canonicalについて
Ubuntuを提供するCanonicalは、オープンソースのセキュリティ、サポート、サービスに特化した企業です。ポートフォリオには、極めて小型のデバイスから大規模なクラウド、カーネルからコンテナ、データベースからAIまで、重要なシステムを幅広く含みます。Canonicalは、大手技術ブランド、スタートアップ企業、行政、ホームユーザーを取引先に持ち、すべての皆様に信頼性の高いオープンソースを提供します。
詳細はhttps://jp.ubuntu.com/をご覧ください。
IDCについて
IDC(International Data Corporation)は、情報技術(IT)、通信、コンシューマー機器市場を対象とし、分析情報、コンサルティングサービス、イベントを提供する有数のグローバル企業です。世界に1,300人以上のアナリストを擁し、世界、地域、国(110か国以上)レベルでテクノロジーや業界のトレンドに関する情報を提供しています。ITプロフェッショナル、企業経営者、投資関係者の皆様には、IDCの分析データや情報を、データに基づくテクノロジー導入の意思決定や主要なビジネス目標の達成にお役立ていただけます。
詳細はこちら:https://www.idc.com/
オープンソースソフトウェアサプライチェーンのセキュリティについて:
————————————————————————————————————————————
💡 FAQ(よくある質問)
Q1:IDCの調査によると、なぜ多くのITチームはパッチ対応に時間を費やしているのですか?
A:IT 環境が複雑化し、CVE などの脆弱性対応が手動かつ断片化されていることが主な要因です。また、異なる OS やアプリケーションに対応する必要があるため、工数がかかります。
Q2:Ubuntu Pro は、どのようにパッチ作業を簡素化しますか?
A:Ubuntu Pro は最大 10 年のセキュリティ更新を提供し、自動パッチ適用機能(Livepatch)などにより、再起動なしで脆弱性に対応できます。
Q3:CVEとは何ですか?
A:CVE(共通脆弱性識別子)は、公開されたセキュリティ脆弱性の識別番号であり、企業はこの番号を元に対応の優先順位を決めます。
Q4:Ubuntu Pro はどのような企業に向いていますか?
A:IT 管理コストを削減したい中小企業から、大規模クラウド環境を管理する企業まで、幅広く活用できます。特に、セキュリティコンプライアンスが求められる業界に最適です。
ニュースレターのサインアップ
関連記事
Japan IT Week 2025 にCanonicalが出展!
最新のAIoT & セキュリティソリューションを体験しよう 日本最大級のIT展示会 Japan IT Week が、2025年4月23日(水)~25日(金)に東京ビッグサイトで開催されます。Canonicalは、今年も IoT & Edge Computing Expo に出展し、最新の AIoT および セキュリティソリューション をご紹介します。 イベント情報 開催日時: 2025年4月23日(水)~25日(金)会場: 東京ビッグサイトCanonicalブース: 26-14 | IoT・エッジコンピューティング EXPO来場登録: こちらから事前登録ライブデモ事前予約: 事前予約 Canonicalブースの見どころ Canonicalブースでは、以下の最新ソリューショ […]
アプリケーションセキュリティ(AppSec)とは?
サイバーセキュリティの世界は変わりました。サイバー攻撃、マルウェア、ランサムウェアのリスク増大に加え、新しいサイバーセキュリティ規制の圧力、情報漏洩や違反にかかる高額の罰金により、もはやアプリケーションセキュリティ(AppSec)は必須です。 このブログ記事では、このような課題に対処し、基本的なセキュリティ対策を中心として業務やシステムを守る方法を紹介します。AppSecの概要と利点、AppSecの設計と実装に取り組む方法を説明した後、セキュリティに関するCanonicalチームのアドバイスとAppSecのベストプラクティスを検討しましょう。 AppSecとは アプリケーションセキュリティ(略してAppSec)とは、アプリケーションのライフサイクルを通じて脆弱性の悪用を防 […]
脆弱性を見つける方法
脆弱性の評価を行う方法 情報セキュリティの世界は専門用語だらけです。脆弱性関連の用語を見たことがある方ならご存じでしょう。さらに厄介なのは、複数の用語が同じ意味に使用されたり、コンピューター以外の分野で使用される用語が混じっていたりすることです。これは、脆弱性の評価について学びたいと考えている人にとって混乱の元です。ですからこのブログ記事では、Ubuntu環境の脆弱性評価について掘り下げる前に、用語の意味を解説します。 脆弱性とは 脆弱性とは、攻撃者による悪用やユーザーのミスによって損害を引き起こす可能性のあるすべての欠陥です。リスク管理において脆弱性は、脅威の可能性を高める、または攻撃が成功したときの損失を増やす、あるいはその両方によって、リスクを増大させます。 サイバ […]
