■ 調査背景

近年、DX（デジタルトランスフォーメーション）やクラウド技術の進展に伴い、企業が保護すべきデジタル資産は増加の一途をたどっています。それに伴い、アタックサーフェス、すなわち攻撃対象となる範囲も拡大しており、サイバー攻撃の脅威がますます高度化する中で、企業の情報システム担当者やセキュリティ担当者は、脆弱性対策の重要性を再認識し、対策の強化を迫られている状況です。
しかし、脆弱性対策は多岐にわたり、その複雑さから十分な対応が難しいと感じている企業も少なくありません。そこで今回、MOTEXでは、企業の情報システム・セキュリティに携わる担当者 約1,000名を対象に、脆弱性診断の実態について調査を行いました。

■ 「企業における脆弱性診断の実態と意識調査」の概要

【調査内容】

• 情報システム部門が管理しているサーバーの数は？
• 情報システム部門が管理しているネットワーク機器の数は？
• 情報システム部門が管理しているWebアプリケーションの数は？
• 情報システム部門が管理しているクラウドサービス（SaaS）の数は？
• 脆弱性診断を実施する頻度は？
• 脆弱性診断を実施する対象は何ですか？（複数回答可）
• 脆弱性診断を実施する際に外部の専門業者を利用していますか？
• 脆弱性診断に年間どれくらいの予算を割り当てていますか？
• 脆弱性診断の予算は増加傾向にありますか？
• 脆弱性診断の結果、重大な脆弱性が発見されたことがありますか？
• 重大な脆弱性が発見された対象はどこですか？ (複数回答可)
• 脆弱性診断の結果をもとに、どのような対策を講じていますか？（複数回答可）
• 脆弱性診断の結果をもとに、どの程度の期間で対策を実施していますか？
• セキュリティ対策を行う上で優先度の高い施策を3つ選択してください（3つ必須回答）
• 今後実施したい診断はありますか？（複数回答可）

【調査方法】

■ 調査結果に対する Webセキュリティ専門家 徳丸 浩 氏のコメント

現在、もっとも大きなセキュリティ脅威はランサムウェアの被害であり、その侵入経路がインターネット公開されているサーバーやネットワーク機器であることを考えると、OSやミドルウェア、ネットワーク機器自体の既知の脆弱性をチェックする「ネットワーク診断」が必要です。
調査結果によると、四半期ないし毎月の診断を行っている企業が多いという結果となっており、既知の脆弱性は日々発見され、増えていくものなので、この対応は合理的であると感じます。 今後実施したい脆弱性診断としても「ネットワーク診断」、優先度の高い施策として「アクセス制御の強化」や「ゼロトラストネットワークの導入」といった回答も多く見受けられ、これも自然に思います。
 
調査結果を見ると、企業の担当者が管理しなければならない対象機器（サーバー、ネットワーク機器、Webアプリケーション、クラウド等）は多くなっており、数十から100以上にわたっている企業が多くなっています。これら多数の機器の脆弱性対応をヌケモレなく実施することは手作業では困難であり、定期的な脆弱性診断を自動化することが重要です。さらに、診断そのものは自動化できても、脆弱性対応には人間の判断が必要な場合が多い一方、「動いている機器はできれば触りたくない」という心理も働くものです。このため、セキュリティ対応の第一報としての脆弱性対応が不可欠のものであるというITの現場担当の意識付けが重要であると考えます。
 
● 徳丸 浩 氏について
イー・ガーディアングループCISO 兼 EGセキュアソリューションズ株式会社　取締役 CTO
1985年京セラ株式会社に入社後、ソフトウェアの開発、企画に従事。1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティに興味を持つ。2004年同分野を事業化。
2008年に独立し、Webアプリケーションセキュリティを専門分野とするHASHコンサルティング株式会社（現EGセキュアソリューションズ株式会社）を設立。脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動を行っている。

■ 調査内容のダイジェスト

増大するセキュリティ脅威に対する対策としてニーズが高まる脆弱性診断ですが、脆弱性診断には、診断の精度やコスト、自社やベンダーのリソースの確保といった多くの課題が存在します。
本調査では、企業が実施している脆弱性対策の実態や課題、担当者の意識が明らかとなっており、皆様が今後、効果的な診断を検討・実施し、安全で信頼性の高いシステムを構築することで、セキュリティ体制を強化するための一助となれば幸いです。ぜひ資料をダウンロードいただき、ご確認ください。

■ TOPIC 1： 情報システム部門の管理対象システムの状況

～管理対象は数十から100以上、種類も多岐にわたる～

本調査では、はじめに、情報システム部門が管理している対象システムの数についてお伺いしました。

従業員規模が大きくなると、情報システム部門が管理するサーバーやネットワーク機器の数も増加し、特に従業員数1,000名以上の企業では、500台を超える機器を管理している割合が3割以上という結果となりました。
サーバーやネットワーク機器だけでなく、Webアプリケーションやクラウドサービス（SaaS）まで含めると、情報システム部門が管理している対象システムは数十～100以上にわたっていることが分かります。
 
そのような状況下で、中には管理対象数が「分からない」と回答された企業も存在しており、IT資産の現状把握や棚卸が不十分な現状も見受けられました。
昨今はWebアプリやSaaSなどのクラウドサービスの利用が増加していることで、管理対象の分散化が進み、これは、高度化するサイバー攻撃においては、その脆弱性がアタックサーフェス（攻撃面）となり得ます。このような中で、自社の資産の現状把握・可視化に対する課題が浮き彫りとなりました。

■ TOPIC 2： 脆弱性診断の実施頻度と予算の傾向

～約9割の企業が年1回以上の定期的な脆弱性診断を実施、4割以上で予算も増加傾向～

続いて、管理対象システムに対する脆弱性診断の実施頻度や、診断にかける予算についてお伺いしました。

「脆弱性診断を実施する頻度はどれくらいですか？」という質問には、『四半期ごと（30％）』という回答が最も多く、次いで『半年ごと（23％）』、『毎月（17％）』という結果となりました。
約9割の企業において、年1回以上の定期的な脆弱性診断を実施されており、ネットワーク機器の脆弱性チェックやWebアプリケーション改修のタイミングで、定期的に実施されているものと想定されます。

また、「脆弱性診断の予算は増加傾向にありますか？」という質問に対しては、『現状維持（49％）』という回答が最も多くなりましたが、『増加傾向（42％）』という回答も多くを占めました。
多くの企業が脆弱性対策の重要性を認識し、診断をはじめとするセキュリティ対策に対する投資を強化していることを示しています。

■ TOPIC 3： 優先度の高いセキュリティ対策と今後実施したい脆弱性診断

～アクセス制御の強化など様々な施策を検討、今後実施したい診断はネットワーク診断が最多～

それでは、企業はセキュリティ対策強化を推進するため、具体的にどのような施策を検討しているのでしょうか？

「セキュリティ対策を行う上で優先度の高い施策を3つ選択してください（3つ必須回答）」という質問に対しては、『アクセス制御の強化（回答数：508）』という回答が最も多く、次いで『セキュリティの監視（回答数：433）』、『ゼロトラストネットワークの導入（回答数408）』という結果となりました。

また、「今後実施したい施策はありますか？（複数回答可）」という質問に対しては、『ネットワーク診断（回答数：413）』が最も多く、次いで『Webアプリケーション診断（回答数：358）』、『スマートフォンアプリケーション診断（回答数：358）』という結果となりました。
 
前述の通り、多くの企業・組織に被害が拡大しているランサムウェアの侵入経路は、インターネット公開されているサーバーやネットワーク機器が主となっており、その対策として「ネットワーク診断」は非常に有効と言えるでしょう。
 
調査の詳細は下記よりダウンロードいただけます。せひご覧いただき、皆様の企業・組織のセキュリティ体制を強化するための一助となれば幸いです。

■ MOTEX会社概要

• 記載の会社名およびプロダクト名・サービス名は、各社の商標または登録商標です。
• 記載の内容は発表日時点のものです。最新の情報と異なる場合がございますのでご了承ください。