この記事をtweetする このエントリーをはてなブックマークに追加

導入率から使い勝手まで! IT担当者300人に聞きました

WEB脆弱性診断サービスの導入状況

2012/02/14


 キーマンズネットでは、2011年11月15日〜2011年11月22日にかけて「WEB脆弱性診断サービス」に関するアンケートを実施した(有効回答数:605)。回答者の顔ぶれは、情報システム部門が全体の50.7%、一般部門が49.3%という構成比であった。
 今回、お聞きしたのは「導入の目的」や「重視ポイント」など、WEB脆弱性診断サービスの導入状況を把握するための質問。その結果、全体で14.1%が既にWEB脆弱性診断サービスを導入しており、昨今のサイバーテロに関するニュースを受けて同サービスの導入を検討する人の割合が増えていることが分かった。
 なお、グラフ内で使用している合計値と合計欄の値が丸め誤差により一致しない場合があるので、事前にご了承いただきたい。

※「脆弱性診断サービス/WEB脆弱性診断サービスの導入状況」の記事を一部ご紹介します。会員登録を行い、 ログインすると、「脆弱性診断サービス/WEB脆弱性診断サービスの導入状況」の記事全文がお読みいただけます。

会員登録はこちら(無料)



1

全体の14%が「WEB脆弱性診断サービス」を導入済み、8%が新規導入を検討

 最初に、「担当するシステムで、個人情報や重要な情報を取り扱うWEBサイトの有無」について尋ねた。その結果、重要情報の取り扱いが「ある」と答えた方は全体の39.7%で、残り60.3%が「ない」と答えている。
 次に、WEB脆弱性診断サービスの「導入状況」を尋ねたところ、全体の14.1%が「導入済み」で、「新規で導入を検討している」と回答したのが8.6%、「必要性を感じているが導入は検討していない」が40.5%、「必要性を感じない」が36.9%という結果となった。
 そして「導入状況」を個人情報や重要な情報を取り扱うWEBサイトの有無で分けて集計したところ、「導入済み」の割合は重要情報の取り扱いが「ある」と回答した人では21.8%、「ない」と回答した人では6.3%に留まった。
 昨今相次ぐサイバー攻撃はほとんどの場合、システムに潜む脆弱性が引き金になっている。ひとたび重要情報が外部に流出すれば顧客からの賠償問題に発展するだけでなく、社会に対する信用失墜、延いては会社の存続をも危ぶまれる事態に発展しかねない。それだけに個人情報や重要な情報を取り扱うWEBサイトの担当者は、重要情報を取り扱わないWEBサイトの担当者に比べてWEB脆弱性診断サービスの導入状況が高いのだろう。

図1 WEB脆弱性診断サービスの導入状況

図をご覧いただくには・・・
会員登録いただくと自動的にこの記事に戻り、図がご覧いただけます。

会員登録(無料)・ログイン

図1 WEB脆弱性診断サービスの導入状況
このページの先頭へ

2

相次ぐ“サイバーテロ”のニュース報道、導入予定約4割が導入検討のきっかけに

 次に、WEB脆弱性診断サービスを「導入済み」と回答した人に、「導入した目的やきっかけ」を尋ねた(複数回答)。その結果、1位が「情報漏洩対策(個人情報保護法対応等)」で78.5%、2位は「現状のセキュリティへの不安」と「内部統制(SOX法対応等)」が同率で41.8%となり、「Pマークなどの取得」、「サイバーテロのニュースを見て危機感が高まった」、「ウイルスなどの実被害があった」が続いた。
 また、WEB脆弱性診断サービスを「導入予定」と回答した人に、「導入する目的やきっかけ」を尋ねた(複数回答)。その結果、1位から2位は「導入済み」と変わりなく「情報漏洩対策(個人情報保護法対応等)(74.1%)」、「現状のセキュリティへの不安(59.3%)」と続いているが、3位には「サイバーテロのニュースを見て危機感が高まった(38.9%)」と、「導入済み」に比べ3倍のスコアで順位を上げた。
 2011年は、ソニーグループや衆議院、三菱重工、東芝など、特定の企業を標的にしたサイバー攻撃が相次ぎ、多くの情報が外部に漏洩した。それら組織のシステムは決してセキュリティ対策を怠っていたわけではない。それでも重要情報が外部に流出してしまったこれらの事件は世の中に大きなインパクトを残し、このような結果になったのだろう。

図2 WEB脆弱性診断サービスの導入目的・きっかけ

図をご覧いただくには・・・
会員登録いただくと自動的にこの記事に戻り、図がご覧いただけます。

会員登録(無料)・ログイン

図2 WEB脆弱性診断サービスの導入目的・きっかけ
このページの先頭へ

3

導入済みの6割以上が「最新の脆弱性への対応」をサービスの重視ポイントに

 続いて、WEB脆弱性診断サービスを「導入済み」と回答した人に、WEB脆弱性診断サービスを導入した際に「重視したポイント」と「最も重視したポイント」を尋ねた。その結果、1位が「最新の脆弱性への対応」で61.7%、2位が「コスト」で59.3%、3位が「診断項目の範囲」で43.2%となった。また、「最も重視」だけを見ても「最新の脆弱性への対応」を重要視する割合が高い結果となった。
 昨今、IT製品は選定時の重視ポイントとして「コスト」を最も重要視されることが多いが、今回は違った。低コストで実施できたとしても、対応している脆弱性が古く脆弱性診断を実施して最新の脆弱性が見つけられずにそこを悪意のあるユーザに攻撃されればそのコストは無駄になるので当然のことと言えよう。更に言えば重要な情報を奪おうとするような悪意を持つユーザが、古くすでに対策されているような脆弱性を狙ってくることはまずないだろう。
 2012年1月26日に情報処理推進機構(IPA)が発表した「ソフトウェア等の脆弱性関連情報に関する届出状況[2011年第4四半期(10月〜12月)]」を見ると10月から12月に届け出されたWEBサイト(アプリケーション)における脆弱性は381件。1日あたり約4.18件もの脆弱性が発見されている状況を考えると、最新の脆弱性への対応ができているかどうかがコストよりも重要視されていることは自然なことだ。

図3 WEB脆弱性診断サービスの重視ポイント

図をご覧いただくには・・・
会員登録いただくと自動的にこの記事に戻り、図がご覧いただけます。

会員登録(無料)・ログイン

図3 WEB脆弱性診断サービスの重視ポイント

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには…
会員登録いただくと自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ
関連キーワード

脆弱性診断サービス/WEB脆弱性診断サービスの導入状況」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「脆弱性診断サービス」関連情報をランダムに表示しています。

脆弱性診断サービス」関連の製品

シマンテックの脆弱性診断サービス 【シマンテック・ウェブサイトセキュリティ】
セキュリティ診断
今更聞けない「脆弱性診断」とは?効果的な診断の受け方とは?

脆弱性診断サービス」関連の特集


多種類のWANサービスが提供されている今IP-VPN独自の強みを活かす「使い分け法」とは!?最新事情…



未だ数多くの脆弱性がWebサイト上に潜んでおり、脆弱性を狙った事件が相次いでいます。そこで今注目を集…



SQLインジェクション攻撃などに対抗するには欠かせない「WAF(Webアプリケーションファイアウォー…


「セキュリティ診断」関連の製品

シマンテックの脆弱性診断サービス 【シマンテック・ウェブサイトセキュリティ】 Webアプリケーション脆弱性検査ツール Vulnerability Explorer 【ユービーセキュア】 シマンテックの脆弱性アセスメントとセキュリティ診断サービス 【シマンテック・ウェブサイトセキュリティ】
セキュリティ診断 セキュリティ診断 セキュリティ診断
今更聞けない「脆弱性診断」とは?効果的な診断の受け方とは? Webアプリケーションの検査対象ページを正しく巡回し、脆弱性の診断を行う検査ツール。脆弱性の検出率が高く、目的に応じたきめ細かいレポート出力ができる。 Webサイトの健康診断!人間と同じで早期発見が第一の脆弱性対策

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

脆弱性診断サービス/ WEB脆弱性診断サービスの導入状況」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「脆弱性診断サービス/ WEB脆弱性診断サービスの導入状況」の記事の続きがお読みいただけます。


Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


30004501


IT・IT製品TOP > ネットワークセキュリティ > セキュリティ診断 > セキュリティ診断のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ