SANSが「The Top Cyber Security Risks」と題した報告書を公開しました。これは、TippingPointから提供された約6000の組織のデータと、Qualysから提供された900万のシステムのデータに基づいた分析結果をまとめたもので、対象期間は今年の3月から8月です。
報告書によると、現在のインターネットセキュリティにおける最大の脅威は、OSの脆弱性ではなく、クライアント側のアプリケーションソフトウェアの脆弱性であるとしています。例えば、Adobe ReaderやFlash、QuickTime、Microsoft Officeといったソフトウェアの脆弱性が悪用されるケースが増えており、また、OSに比べてそのようなソフトウェアのパッチ適用が遅れがちであることもリスクを高める要因になっていると指摘しています。
もう1つの脅威が、SQLインジェクションやクロスサイトスクリプティングなどのWebアプリケーションの脆弱性です。インターネット上で観測された攻撃（の試み）のうち60％以上が、このようなWebアプリケーションに対する攻撃なのだそうです。

OSの脆弱性に比べてアプリケーションの脆弱性の方がリスクが高いという点。そもそも攻撃対象とされるOSの数とアプリケーションの数を比較すれば、アプリケーションの数の方が圧倒的に多いわけですから、アプリケーションの脆弱性が数として多いのは当然です。
また、最近の代表的なOSは自動更新機能、または容易にセキュリティ修正が行なえる仕組みを持っているものがほとんどであるのに対し、アプリケーションはまちまち。当然ながら更新漏れが生じやすくなります。さらに、OSの更新はほとんど無条件に行なうユーザーでも、アプリケーションの更新はなかなか行わないという状況も、実態としてピンと来る方は多いと思います。

【海外セキュリティ】 第37回：SANSによる脅威分析報告書 ほか - INTERNET Watch Watch

アプリケーション側のリスクが相対的に高まっているのに対して、ユーザー側（システム管理者含む）がそのリスクに対してあまり注意を払っていない（ように見える）現状を、問題であるとこの報告書は強く指摘しています。「OSさえ更新しておけばOK」とまでは思っていなくても、「とりあえずはOS」と思って、アプリケーションについては後回しにしているユーザーやシステム管理者は少なくないでしょう。その「油断」がリスクを高めているというわけです。
さらにこの報告書が指摘している問題点で注目すべきは、発見される数が飛躍的に増え続けている脆弱性に、ソフトウェアベンダーらが対応し切れていないという点です。これがゼロデイ攻撃を増大させている原因（の1つ）であり、その問題の根幹は、脆弱性に対応できる研究者や技術者が政府やソフトウェアベンダーに足りないからだとしています。これはかねてから指摘されていた問題点ですが、最近のゼロデイ攻撃の増加や、発見されてから2年もの間パッチが提供されない脆弱性が存在しているという現状を考えると、そろそろ抜本的な問題解決に向けた動きが求められるのではないでしょうか。

【海外セキュリティ】 第37回：SANSによる脅威分析報告書 ほか - INTERNET Watch Watch