ITチームの70%がセキュリティパッチの適用に6時間以上– IDCの最新調査
by Canonical on 16 June 2025
TL;DR(要約):
IDC の新調査によると、70%以上の IT チームが週に 6 時間以上をセキュリティパッチに費やしており、多くが業務負担と感じています。Ubuntu Pro のような自動化されたセキュリティ対応が注目されています。この調査は、CVE 対応やオープンソースの脆弱性管理にも言及しており、Ubuntu Pro の価値が改めて浮き彫りになりました。
————————————————————————————————————————————
CanonicalとIDC(International Data Corporation)社による最新の調査結果:企業はCVE(共通脆弱性識別子)パッチ適用の指令に従った修正の適用に苦労し、オープンソースサプライチェーンにおいて他にも重要な問題に直面
Ubuntuを提供するCanonicalは本日、ICDとの協力およびGoogle Cloudとの共同出資による調査レポートで、セキュリティパッチと規制適合の負担によって組織が直面する課題や圧力について新しい分析情報を発表しました。このレポート「The state of software supply chains: Security challenges, opportunities and the path to resilience with open source software(サプライチェーンの現状:オープンソースソフトウェアにおけるセキュリティ上の課題、機会、レジリエンスへの取り組み)」は、250人以上のフルタイム従業員を持つ500の組織に対し、自社が直面する最も切迫した問題について尋ねた調査の結果です。特に、脆弱性とパッチの管理、ソフトウェアの依存関係やソフトウェアのサプライチェーンの不明瞭さ、ソフトウェアのソースの信用性が問題として挙げられています。
10社のうち9社がOSパッケージに依存ファイルの提供を期待
企業はさまざまな理由でオープンソースソフトウェアを活用しています。レポートによれば、半数近い44%はコスト削減のため、36%は開発速度を上げる目的でオープンソースソフトウェアを採用しています。
しかし、これによってオープンソースソフトウェアのサプライチェーンを維持するという新しい課題が生じました。組織の57%はアップストリームのオープンソースリポジトリから、51%はpipやnpmなどのエコシステムからパッケージを取得しています。
調査では、10社のうち9社がOSからのパッケージ取得を希望する一方、実際にそうしているのは44%にとどまります。11%ながら社内でリポジトリを維持管理している企業もあります。
脆弱性パッチの適用義務化に確実に対応しているのは組織のわずか41%
オープンソースソフトウェアのセキュリティパッチと脆弱性の修正を維持するのは、組織にとって簡単ではありません。10社のうち7社がこれに週6時間以上を費やしています。毎週、担当者がまる1日近くをかけて手作業でパッチを適用していることになります。
CVE(Common Vulnerabilities and Exposures:共通脆弱性識別子)修正が義務化され、この負担はさらに重くなりました。組織の70%は「重要」と「緊急」のコンテナ脆弱性が特定されてから24時間以内に脆弱性パッチの適用を指示しますが、これを「非常に確実」または「まったく確実」に実行できると回答したのは41%にすぎません。
一方、組織は定期的なアップグレードより安定性を優先します。調査結果では、大半の組織がOSやアプリケーションをすぐには更新しません。50%以上の組織が、運用中のOSやアプリケーションを自動的には最新版にアップグレードせず、新しい機能が必要になったとき、あるいはアセットやアプリケーションが無償のセキュリティパッチを受け取れなくなったときまで待つと回答しています。
CanonicalのシニアパブリッククラウドイネーブルメントディレクターであるAaron Whitehouseは、次のように述べています。「2025年、組織は難しい課題に直面します。最新、最良のオープンソースを導入し、社内の開発チームが既存の技術を生かせるようにしなければならない一方、オープンソースの信頼できる提供元を見つけ、全社規模でセキュリティとコンプライアンスを維持するのは大変な作業だからです。これは、Ubuntu Proやコンテナ構築サービスの一環として提供しているExpanded Security Maintenance(ESM)など、この分野におけるCanonicalの取り組みの価値を裏付けています。」
AIの導入でセキュリティとコンプライアンスが複雑化
このような大きな課題に加え、クラウド管理、AIの導入、規制要件の増加など、2025年には新しい難題も山積しています。
すでに多くの組織はマルチクラウド環境やハイブリッド環境を導入しています。このような環境は複雑なため、クラウドを多用する組織がすでに直面しているように、設定ミス、IDやアクセスの管理、その他のセキュリティ管理に関する問題や懸念が生じます。
AIに関して言えば、組織の43%はAIスタックのセキュリティを確保する自社の能力に、大きな、または極めて大きな懸念を抱いています。また60%は、AI/MLシステムを保護するのに基本的なセキュリティ機能しかない、またはセキュリティ機能がまったくないことを認めています。
最後に、組織の37%は、具体的なシステム、テクノロジー、ソフトウェアコンポーネントにコンプライアンス規制がどのように適用されるのかを理解していません。コンプライアンスの形態は業界やユースケースによって異なりますが、FedRAMP、GDPR、HIPAAなど従来の規制、AI法などのまったく新しい規制を含め、コンプライアンスの枠組みの数が多いことが、サプライチェーンのセキュリティ規制適合をさらに厳しく難しいものにしています。組織の57%は、共通のコンプライアンスフレームワークを導入すればビジネスにとっても最も有利だろうと考えています。しかし、IT、セキュリティ、ビジネスの戦略に共通する総合的なアプローチを導入している企業は37%にすぎません。
課題への対応
サイバーインシデント、時代遅れのソフトウェアやインフラ、人員不足のリスク増大を考えれば、上記の課題はすべての企業にとって大きな意味を持ちます。
IDCのアソシエートリサーチディレクターであるGeorge Mironescu氏は、次のように述べています。「企業のソフトウェア利用が増え、サプライチェーンが複雑になるにつれ、依存関係を詳細に把握し、リスクや脆弱性に対処することが難しくなります。ITチームは、信頼できる形でソフトウェアスタックを管理することに苦労しています。しかし、社内のソフトウェアを危険にさらすことはだれにもできません。2025年における脆弱性管理、AI、規制コンプライアンスの課題を克服するには、基本的なセキュリティに加え、システムとサイバーセキュリティの長期的な持続可能性に対応する新しいアプローチとシステムを考える必要があるでしょう。」
企業は、ソフトウェアサプライチェーンをソフトウェア管理の中心に据え、脆弱性管理のための更新やパッチ適用を自動化するとともに、共通のコンプライアンスフレームワークやコンプライアンス自動化ツールで効率的に要件を満たすことで、このような困難に正面から取り組む必要があります。
分析情報、調査結果、アドバイスの詳細は、レポート全文をダウンロードしてご覧ください。
Canonicalについて
Ubuntuを提供するCanonicalは、オープンソースのセキュリティ、サポート、サービスに特化した企業です。ポートフォリオには、極めて小型のデバイスから大規模なクラウド、カーネルからコンテナ、データベースからAIまで、重要なシステムを幅広く含みます。Canonicalは、大手技術ブランド、スタートアップ企業、行政、ホームユーザーを取引先に持ち、すべての皆様に信頼性の高いオープンソースを提供します。
詳細はhttps://jp.ubuntu.com/をご覧ください。
IDCについて
IDC(International Data Corporation)は、情報技術(IT)、通信、コンシューマー機器市場を対象とし、分析情報、コンサルティングサービス、イベントを提供する有数のグローバル企業です。世界に1,300人以上のアナリストを擁し、世界、地域、国(110か国以上)レベルでテクノロジーや業界のトレンドに関する情報を提供しています。ITプロフェッショナル、企業経営者、投資関係者の皆様には、IDCの分析データや情報を、データに基づくテクノロジー導入の意思決定や主要なビジネス目標の達成にお役立ていただけます。
詳細はこちら:https://www.idc.com/
オープンソースソフトウェアサプライチェーンのセキュリティについて:
————————————————————————————————————————————
💡 FAQ(よくある質問)
Q1:IDCの調査によると、なぜ多くのITチームはパッチ対応に時間を費やしているのですか?
A:IT 環境が複雑化し、CVE などの脆弱性対応が手動かつ断片化されていることが主な要因です。また、異なる OS やアプリケーションに対応する必要があるため、工数がかかります。
Q2:Ubuntu Pro は、どのようにパッチ作業を簡素化しますか?
A:Ubuntu Pro は最大 10 年のセキュリティ更新を提供し、自動パッチ適用機能(Livepatch)などにより、再起動なしで脆弱性に対応できます。
Q3:CVEとは何ですか?
A:CVE(共通脆弱性識別子)は、公開されたセキュリティ脆弱性の識別番号であり、企業はこの番号を元に対応の優先順位を決めます。
Q4:Ubuntu Pro はどのような企業に向いていますか?
A:IT 管理コストを削減したい中小企業から、大規模クラウド環境を管理する企業まで、幅広く活用できます。特に、セキュリティコンプライアンスが求められる業界に最適です。
ニュースレターのサインアップ
関連記事
トラブルシューティング
アップストリームの変更でスマートカードのFIPS認証が機能しなくなったときの対処方法 ある行政機関が組織内で運用しているUbuntuデバイスすべてにスマートカード認証を義務付けました。ところがコンプライアンス要件を満たすためにFIPSモードを有効にすると、スマートカード認証の機能が停止してしまい、1,000台近いシステムがFIPS認証への対応を待つことになりました。 Canonicalのサポートチームは、まずOpenSCのアップストリームでの変更が意図せずFIPSとの互換性を損なっていることを突き止めました。次に、すべてのディストリビューションのアップストリームの開発者と連携し、緊急用のホットフィックスと正式な修正の両方を提供しました。このときの対応を以下にご紹介しましょ […]
ソブリンクラウド:コンフィデンシャルコンピューティングによるデータセキュリティの強化
自社データに対する管理の強化、デジタル主権の確立、さらには独自のソブリンクラウドの構築に関心を持つ企業が増えています。しかしこれは、データをどこに保存するかだけでなく、データのライフサイクル全体に配慮することを意味します。 このブログ記事では、データレジデンシーとデータ主権の違いに加え、コンフィデンシャルコンピューティングがどのようにデータのセキュリティを強化し、デジタル主権の実現をサポートするかを説明します。 データレジデンシーとデータ主権は異なる データを保存する場所(データレジデンシー)を把握することとデジタル主権を実現することを混同する人は少なくありません。しかし、データがどこに保存され、どのように保護されているかを知っているからと言って、デジタル主権があるとは限 […]
CanonicalのS3機能でコストを予測、比較、削減
かつて私は、どれだけデータを保存する必要があるかわからないプロジェクトを始める際、パブリッククラウドストレージが便利だと書きました。しかしデータセットが増えるにつれ、パブリッククラウドストレージのコストは膨大になります。このような場合、オンプレミスまたはコロケーションの自社運用ストレージシステムを運用すれば、コスト、性能、セキュリティ、データ主権など多くの面でメリットがあります。この記事では、企業におけるストレージの利用方法をいくつか紹介し、どの程度のコスト削減が見込めるかを解説します。 ストレージワークロードの増加 AWS S3、Azure Blob、GCP GCSといったクラウドコンピューティングサービスでは、演算処理、ストレージ、ネットワーキングのリソースを即座に利 […]
