ニュース

企業のウェブアプリ脆弱性診断サービス利用状況、実施回数は年2~4回、1回あたりの予算は20万円未満が最多~NHNテコラス調査

 NHNテコラス株式会社は24日、株式会社イードが運営する情報セキュリティ専門メディア「ScanNetSecurity」と共同で実施した、企業のウェブアプリケーション脆弱性診断サービスの利用実態に関する調査結果を公表した。

 調査は、ウェブアプリケーション脆弱性診断サービスを利用した経験のある、企業の情報システム部門担当者など508人を対象に、ウェブアプリケーションの脆弱性診断を行う際に、どのような基準で診断会社を選定するかを調査したもの。調査期間は2016年11月25日~28日。

 ウェブアプリケーション脆弱性診断の実施回数については、年間2~4回という回答が42.5%で最も多く、1回あたりの予算は20万円未満(29.1%)が最も多かった。

 ウェブアプリケーション脆弱性診断サービスの予算に関する考え方については、48.6%が診断の現行予算額を妥当であると考える一方、35.6%が予算を減らしたいと考え、15.7%が増やしたいと考えている。減らしたいと考える比率は、診断1回あたりの予算が20万円未満の層が41.9%で最も多い。反対に、増やしたいと考える比率は、診断1回あたりの予算が500万円以上の層が39.0%と最も多く、現行予算額が大きい企業ほど、予算を増加させたい意向を持っていると分析している。

 ウェブアプリケーション脆弱性診断サービスを提供する企業の選定基準については、現在重視している項目としては、「料金に対して妥当な技術力があること」(34.3%)、「年間診断件数、事業経験年数などの実績」(30.7%)、「料金の安さ」(27.8%)が上位を占めた。

 今後重視したい項目についても同様に、「料金に対して妥当な技術力があること」(30.1%)、「年間診断件数、事業経験年数などの実績」(29.7%)、「料金の安さ」(27.2%)が上位となったが、第4位は「報告書に診断結果だけでなく、対処方法まで明示してくれること」(26.8%)となっており、市場ニーズが脆弱性の発見だけでなく、具体的な改善方法を求めるフェーズまで進んでいることが推測されるとしている。

 企業のセキュリティ体制の整備状況については、「専業の情報システム部門が存在する」「CIO、CISOなどのIT・セキュリティの投資や運用管理を行う取締役が存在する」などのセキュリティ体制を有している企業の割合が83%で、サイバー攻撃の危機感に企業が敏感に反応している現状を示していると説明。その反面、体制整備が進まない企業ほど、「サイバー攻撃による被害を受けたことがない/または気づいていない」と回答する傾向が見られ、二極化する現状がうかがえるとしている。

 調査では、企業がウェブアプリケーション脆弱性診断サービスの提供事業者を選定する際、価格に見合った技術力や実績などの一般的・総合的評価を元に判断しているが、手動診断の有無やアフターサービスの充実、診断ツールの豊富さ、JVNなどの脆弱性報告実績などを示す項目はそれほど重視されておらず、ウェブアプリケーション脆弱性診断サービス市場はまだ未成熟な段階にあると考えられると指摘。今後は、セキュリティ企業からの情報発信や、各種調査の実施、メディアによる報道の重要性が増すことはもちろん、サービスの優劣を明確に数値化し、客観的に判断できる指標の整備・拡充なども望まれるとしている。