先日，Secunia Personal Software Inspector (Secunia PSI) 1.0が公開された．そして，Secuniaはここ7日間のSecunia PSI 1.0のユーザーから得られた統計データを基に，ユーザーのセキュリティパッチ適用状況を調べた．今回の統計データは，ちょうど20,000 [PCs/users]のデータに基づいているとのこと．

　その結果によれば，すべてのプログラムにセキュリティパッチが適用され，きちんと運用されているPCは実に全体の1.91%しか無かった．これは，全体の98%のパソコンはセキュリティホールが存在するプログラムが稼動していることを示している．それによって，悪意のある者にそのセキュリティホールを悪用され，個人情報の漏洩やシステムの管理権の奪取などの危険性がある．また，マルウェアがその脆弱性を利用し，感染する可能性もある．

　Secuniaが今回行った統計結果は以下の通りである．

Number of insecure programs	per PC/user:
0 Insecure Programs:	1.91% of PCs
1-5 Insecure Programs:	30.27% of PCs
6-10 Insecure Programs:	25.07% of PCs
11+ Insecure Programs:	45.76% of PCs

　　　　　1.91% of all PCs are fully patched! - Secunia Blogより引用

　ここで，"Insecure"の定義は以下の通りである．

By "insecure program" it is understood, that there is a newer version of the program available from the vendor that corrects one or more vulnerabilities, but the user have yet to install the secure version.
　　　　　1.91% of all PCs are fully patched! - Secunia Blogより引用

　つまり，今回の"Insecure"とは，既知の脆弱性であって，すでにセキュリティパッチ(修正済みバージョン)が公開されているにもかかわらず，ユーザーがそれをインストールしていない場合を指す．

　また，このデータは最も良いケースであると考えられる．Secunia PSIを使用している者が母体であるから，一般的なユーザーに比べて，セキュリティ意識が高く，またそれ相応の対策もしていると考えられる．その母体における統計結果が上述した通りなのだから，一般ユーザーの場合を考えれば，それよりもはるかに悪い値となることが推測される．それに関しては，Secuniaでも次のように述べられている．

Please note. Due to the way data is collected by the Secunia PSI all results presented here are to be considered "best case" scenarios, the real numbers are likely to be worse.

There are two primary reasons as to why this should be considered "best case" data compared to data of all other Internet users:

1) The users of the Secunia PSI are likely to be more vigilant and security minded than all other Internet users.

2) We do not register if a Secunia PSI user has previously used the Secunia PSI/OSI/NSI to patch their PC, then uninstalled the Secunia PSI/OSI/NSI just to install them again (e.g. to get a clean patch history), thus the user would show up as a "first time" user in these statistics.
　　　　　1.91% of all PCs are fully patched! - Secunia Blogより引用

　つまり，

• Secunia PSIを利用しているユーザーは一般ユーザに比べて非常に用心深く，セキュリティ意識が高い
• 以前にSecunia PSI/OSI/NSIを使用してパッチを当てていて，それをアンインストールして再インストールした場合，Secunia PSI/OSI/NSIの初めてのユーザーとして統計データに表れる

などの理由により，一般ユーザーを母体とするよりも，はるかに良いケースが推定されていると考えられる．

　セキュリティパッチは非常に重要であり，セキュリティパッチを当てていなければ，セキュリティソフトだけでは防げない場合もある．ガードマンを雇っていても，肝心の家の鍵が掛かっていなければ無用心であるのと同じように，セキュリティソフトによる対策だけでなく，セキュリティパッチもしっかりと当てるようにしたい．

　余談だが，Kasperskyさんのように，総合セキュリティソフトに脆弱性スキャナを搭載するというのは，非常に画期的であり有益だと思う．他のセキュリティソフトも，脆弱性スキャン機能を搭載するべきだろう．そして，セキュリティパッチをユーザーが特に意識する必要なく，オートマティックに適用されるようなものにして欲しい．Windowsにも "Synaptic"のようなパッケージ管理システムがあれば良いのにね．

追記 2008/12/04 13:30

　INTERNETWatchのほうで，関連記事がポストされていたので紹介．

　脆弱性が存在しないPCはわずか1.91％、Secuniaが調査結果を発表 - INTERNETWatch

　今回の調査結果は2万台のPCからのデータに基づくもので、Secunia PSIを初めて使用したユーザーが対象となっている。

　その結果、脆弱性を含むソフトが1つもなかったPCは、全体のわずか1.91％だった。脆弱性を含むソフトが検出された個数は、1〜5個が30.27％、6〜10個が25.07％。11個以上が45.76％で、ほとんどのPCには脆弱性を含むソフトが存在しているという結果となった。ここでの「脆弱性を含むソフト」とは、脆弱性を修復した新バージョンがベンダーから提供されているソフトを指している。
---中略---
脆弱性が存在すれば、セキュリティソフトによって脅威から守られる可能性は低くなり、ウイルスの被害に遭う確率は格段に高くなる。Secuniaでは脆弱性をふさぎ、最新のパッチを当てることを強く推奨している。
　　　　　脆弱性が存在しないPCはわずか1.91％、Secuniaが調査結果を発表 - INTERNETWatchより引用

追記 2008/12/04 19:00

　ITmediaのほうで，関連記事がポストされていたので紹介．

　PC利用者の98％が脆弱性を放置――Secunia統計 - ITmedia

追記 2008/12/05 05:00

　Computerworld.jpのほうで，関連記事がポストされていたので紹介．

　未パッチ状態の無防備なアプリ、ほぼすべてのWindows PCに「存在」 - Computerworld.jp

調査の結果、Windowsのアップデートを実施していないユーザーは皆無に近かった。「Windows Update」を利用すれば、ごく簡単に更新できるためだと推測される。「Adobe Reader」「Flash」Apple QuickTime」や、主要ブラウザなども似たような状況だった。

　一方、アップデート機能が備わっていないアプリケーションの場合は、パッチを適用していないケースが少なくなかった。「サードパーティの（ブラウザ）プラグインの多くには（アップデート機能が）備わっておらず、ユーザーもこまめな更新を怠りがちになる」（クリステンセン氏）
　　　　　未パッチ状態の無防備なアプリ、ほぼすべてのWindows PCに「存在」 - Computerworld.jpより引用

　WindowsUpdateのような，オートマティックにパッチを適用してくれる場合は，ほとんどの人がきちんと更新している．パーセンテージを下げているのは，主にマニュアルでアップデートするしかないソフトウェアによることが分かる．

　Secuniaでは、PSIをインストールしたばかりのPCに含まれている危険なアプリケーションの数を今年7月にも調査しているが、今回の数字を見るかぎり、状況は当時よりも悪化している。7月の時点でパッチ未適用アプリケーションを含んでいないクリーンなPCの割合は、今回の結果のほぼ2倍に当たる4.5％だった。

　クリステンセン氏は、PSIの利用者層が変化し、より広範なユーザーから情報を集められるようになったことが今回の結果からうかがえると語る。PSIの初期利用者層のほとんどはテクノロジーに詳しい人々だったが、同ユーティリティの存在が知られるようになると、「それまでとは完全に異なるタイプのユーザー、すなわちPCにパッチを適用したことなど一度もないような人々がPSIを利用し始めた」（クリステンセン氏）という。
　　　　　未パッチ状態の無防備なアプリ、ほぼすべてのWindows PCに「存在」 - Computerworld.jpより引用

　パーセンテージが下がった理由として，利用者層が変化し，より広範なユーザーから情報を集められることになったと考えられる．つまり，ＰＳＩユーザーの母体が一般ユーザーの母体のそれに近づいた結果ということだ．もう少し，ミクロな見方をするなら，一般ユーザーにもＰＳＩが浸透しつつあるということだろうか．そうであれば，パーセンテージの減少は一過的なものであり，長期的には全体の底上げとなるかもしれない．つまりは，ＰＳＩユーザー数の増大に伴って，セキュリティパッチが当てられていない"Insecure"なプログラムの存在数は減少していくだろう．

　一般ユーザーにとって，アップデート機能のないソフトウェアを手動で更新するのは非常に手間であるし，難しい場合もある．やはり，総合セキュリティソフトに脆弱性スキャナ+オートマティックなパッチ適用機能をつけるとか，"Synaptic"のようなパッケージ管理システムが望まれるだろう．