Web脆弱性診断サービスの導入状況(2013年)

この記事をtweetする このエントリーをはてなブックマークに追加

導入率から使い勝手まで! IT担当者300人に聞きました

Web脆弱性診断サービスの導入状況(2013年)

2013/04/23


 キーマンズネットでは、2013年3月19日〜2013年4月1日にかけて「Web脆弱性診断サービスの導入状況」に関するアンケートを実施した(有効回答数:392)。回答者の顔ぶれは、情報システム部門が全体の48.2%、一般部門が51.8%という構成比であった。
 今回、お聞きしたのは導入・検討しているWeb脆弱性診断サービスの「導入状況」や「満足度」、「重視ポイント」など、Web脆弱性診断サービスの導入状況を把握するための質問。その結果、Web脆弱性診断サービスの導入は全体で約2割にとどまっているが、導入している企業の9割以上の方が高い満足度を示していることが分かった。なお、グラフ内で使用している合計値と合計欄の値が丸め誤差により一致しない場合があるので、事前にご了承いただきたい。

※「Web脆弱性診断/Web脆弱性診断サービスの導入状況(2013年)」の記事を一部ご紹介します。会員登録を行い、 ログインすると、「Web脆弱性診断/Web脆弱性診断サービスの導入状況(2013年)」の記事全文がお読みいただけます。

会員登録はこちら(無料)



1

Web脆弱性診断サービス導入未だ2割、情報漏洩対策はほとんどしていない企業11.9%

 最初に「現在Webサーバの情報漏洩対策を行っているか」を尋ねた。全体で「情報漏洩対策は万全なので心配はない」が18.3%、「情報漏洩対策は進めているもののまだ不安がある」が32.7%、「情報漏洩対策はまだ不十分」が14.2%、「情報漏洩対策はほとんどしていない」が11.9%という結果となった。
 従業員規模別に一番回答が多かった項目を見ると、100名以下の中小企業では30.0%が「情報漏洩対策はほとんどしていない」と回答した。また、101名〜1000名以下の中堅企業では31.9%、1001名以上の大企業では44.7%が「情報漏洩対策は進めているもののまだ不安がある」と回答した。
 続いて「Web脆弱性診断サービスの導入状況」について尋ねた(図1)。「既に導入済みである(追加リプレイスなし)」が21.7%、「既に導入済みである(追加リプレイスあり)」が1.5%、「新規で導入を検討している」が4.8%、「必要性を感じるが導入は検討しない」が38.0%、「必要性を感じない」が33.9%と続き、まとめると全体では23.2%が導入済み、6.4%が検討中という結果となった。また、追加リプレイスの有無を合わせて「導入済み」と回答している割合を従業員別に見ると、100名以下の中小企業で6.5%、101名〜1000名以下の中堅企業で16.2%、1001名以上の大企業では43.6%と、従業員規模が大きくなるにつれて「導入済み」の割合が大きくなる傾向にあった。しかしながら、大企業でも53.4%が未導入という事実も判明し、情報漏洩対策としてのWeb脆弱性診断サービスの導入が進む余地は十分にあることが想定される結果となった。
 昨今、国や大企業を狙うサイバー攻撃は数多く報道されており、個人情報や重要情報を取り扱うシステム担当者にとっては細心の注意が必要とされる。今回の調査結果から、企業規模が大きくなるほどWeb脆弱性診断サービスを導入している傾向が見られた。コンプライアンス遵守やCSRへの積極的な取り組みが進む中、大企業ほど賠償問題や社会的な信用失墜に陥りかねない情報漏洩に対し「危機意識」が高いことがうかがえる。

図1 Web脆弱性診断サービスの導入状況

図をご覧いただくには・・・
会員登録いただくと自動的にこの記事に戻り、図がご覧いただけます。

会員登録(無料)・ログイン

図1 Web脆弱性診断サービスの導入状況
このページの先頭へ

2

導入目的・きっかけ「情報漏洩対策」「セキュリティの不安」「内部統制」が上位に

 次に、Web脆弱性診断サービスを導入済みと回答した方に「Web脆弱性診断サービスを導入した目的やきっかけ」について尋ねた(図2)。1位は「情報漏洩対策(個人情報保護法対応など)」で62.1%、2位は「現状のセキュリティへの不安」で49.4%、3位は「内部統制(SOX法対応など)」で47.1%、4位は「取引先からの信頼確保」で29.9%、5位は「Pマークなど取得」で23.0%という結果となった。以降、6位は「Webサイトの公開・リニュアル」で21.8%、7位は「サイバーテロのニュースを見て危機感が高まった」で20.7%、8位は「ウイルスなどの実被害があった」で3.4%であった。
 導入目的やきっかけを項目ごとに分類してみると、「法令順守」「不安感」「ビジネス観点」といった3つの要素に大別できることが分かった。「情報漏洩対策」「セキュリティへの不安」「内部統制」に続いて「取引先からの信頼確保」や「Pマークなど取得」が上位に入ってきた点は注目したいところで、「法令順守」や「不安感」に加えて「ビジネス観点」的要素が導入のきっかけとなっている現状が見えてくる。取引先はもちろん、社会的な信頼の確保が求められているようだ。
 なお、同様に「Web脆弱性診断サービス選定の際に懸念していた点」について尋ねたところ、1位は「最新の脆弱性に対応しているか」で56.6%、2位は「診断の精度」で50.6%、3位は「診断後の対応方法」で41.0%、4位は「レポートの分かりやすさ」で33.7%、5位は「コスト」で28.9%という結果となった。

図2 Web脆弱性診断サービスを導入した目的・きっかけ(導入済み)

図をご覧いただくには・・・
会員登録いただくと自動的にこの記事に戻り、図がご覧いただけます。

会員登録(無料)・ログイン

図2 Web脆弱性診断サービスを導入した目的・きっかけ(導入済み)
このページの先頭へ

3

導入済みの65.1%が「最新の脆弱性への対応」をサービス選定時の重視ポイントに

 次に、Web脆弱性診断サービスを導入済みと回答した方に「Web脆弱性診断サービスの導入時に重視したポイント」について尋ねた(図3)。その結果、1位は「最新の脆弱性への対応」で65.1%、2位は「コスト」で40.7%、3位は「レポートの分かりやすさ」で37.2%、4位は「診断結果に対するフィードバック体制」で34.9%、5位は「ベンダ・SIerの提案・サポート力」で33.7%という結果となった。
 更に、「最も重視したポイント」で比べると、1位は「最新の脆弱性への対応」で52.3%、2位は「コスト」で16.3%、3位は「診断結果に対するフィードバック体制」で8.1%、4位は「診断項目の範囲」で5.8%、同率5位は「ベンダ・SIerの提案・サポート力」と「導入実績」で4.7%という結果となった。
 IT製品の選定時の重視ポイントとして「コスト」を重要視することが多いが、今回は、最も重視する項目を比べると「最新の脆弱性への対応」が「コスト」の3倍以上高い結果になった。たとえ低コストで導入できたとしてでも、最新の脆弱性を診断できなくては全く意味がなく、コストの無駄になりかねない。コストよりも技術的な観点が上位にきたのは当然の結果だろう。とは言っても、2位には「コスト」が選ばれていることから、利益を直接生み出す投資とはなりにくいため、どこまで投資できるかというコストとの兼ね合いで検討が難航している現状がうかがえる。

図3 Web脆弱性診断サービスの重視ポイント(導入済み)

図をご覧いただくには・・・
会員登録いただくと自動的にこの記事に戻り、図がご覧いただけます。

会員登録(無料)・ログイン

図3 Web脆弱性診断サービスの重視ポイント(導入済み)

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには…
会員登録いただくと自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ
関連キーワード

Web脆弱性診断/Web脆弱性診断サービスの導入状況(2013年)」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「Web脆弱性診断」関連情報をランダムに表示しています。

Web脆弱性診断」関連の特集


IT担当543人対象に「Web脆弱性診断サービスの導入状況」を調査。導入のきっかけや重視ポイントから…



過失による情報漏洩の中で大きな割合を占めているメールによる誤送信。このメール誤送信に関する法的なリス…



未だ数多くの脆弱性がWebサイト上に潜んでおり、脆弱性を狙った事件が相次いでいます。そこで今注目を集…


「セキュリティ診断」関連の製品

Webアプリケーション脆弱性検査ツール Vulnerability Explorer 【ユービーセキュア】
セキュリティ診断
Webアプリケーションの検査対象ページを正しく巡回し、脆弱性の診断を行う検査ツール。脆弱性の検出率が高く、目的に応じたきめ細かいレポート出力ができる。

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Web脆弱性診断/ Web脆弱性診断サービスの導入状況(2013年)」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「Web脆弱性診断/ Web脆弱性診断サービスの導入状況(2013年)」の記事の続きがお読みいただけます。


Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


30005875


IT・IT製品TOP > ネットワークセキュリティ > セキュリティ診断 > セキュリティ診断のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ