RELEASEプレスリリース

プレスリリース

プレスリリース
WEBアプリケーション脆弱性診断経験のある企業の約3分の1が「価格に見合った技術力」を重視し、診断サービスを選択/ 市場需要は診断結果から「いかに改善するか」のフェーズへ/WEBアプリケーション脆弱性診断サービスで、今後重視したい基準は「対処方法の明示」

NHN テコラス株式会社(本社:東京都新宿区、代表取締役社長:加藤雅樹、以下 NHN テコラス)は、株式会社イード(本社:東京都新宿区、代表取締役:宮川洋、以下 イード)が運営する情報セキュリティ専門メディア「ScanNetSecurity」と共同で「WEBアプリケーション脆弱性診断サービス」に関するアンケートを実施し、利用実態調査を行いましたのでお知らせします。

本調査は「WEBアプリケーション脆弱性診断サービス」を利用した経験のある企業の情報システム部門担当者等508名を対象に、WEBアプリケーションの脆弱性診断を行う際、どのような基準で診断会社を選定するかを調査したものです。


■ WEBアプリケーション脆弱性診断サービスに関するアンケート調査

調査方法 :インターネット調査
調査対象 :WEBアプリケーション脆弱性診断を実施しており、
診断会社の選定に関与している20-60代以上の担当者
回答者数 :508名
調査期間 :2016年11月25日~28日

■本調査の主なトピックス

・ WEBアプリケーション脆弱性診断サービスの1回あたりの予算について

年間のWEBアプリケーション脆弱性診断実施回数で最も比率が高かったのは2~4回(42.5%)でした。1回あたりの予算は20万円未満(29.1%)が最も高い比率を占めています。

 


 

・WEBアプリケーション脆弱性診断サービスの予算に関する考え方(予算の増減意向)について

48.6%が診断の現行予算額を妥当であると考える一方、35.6%が予算を減らしたいと考え、15.7%が増やしたいと考えていることがわかりました。減らしたいと考える比率は診断1回あたりの予算が20万円未満の層で最多(41.9%)となり、反対に増やしたいと考える比率は診断1回あたりの予算が500万円以上の層で最多(39.0%)となりました。おおむね現行予算額が大きい企業ほど、予算を増加させたい意向を持っていることがうかがえます。

 


・WEBアプリケーション脆弱性診断サービス提供事業者の選定基準について(現在重視している項目)

「WEBアプリケーション脆弱性診断サービス」を提供する企業を選定する際、どのような基準を重視しているかをたずねたところ、「料金に対して妥当な技術力があること」「年間診断件数、事業経験年数などの実績」「料金の安さ」などの基準が上位を占めました。手動診断の有無や診断ツールの豊富さ、アフターサービスの充実、JVN※1等の脆弱性報告実績などの基準よりも高い傾向となっています。

 ※1 "Japan Vulnerability Notes" の略称。JPCERT/CC (JPCERTコーディネーションセンター) および IPA(独立行政法人 情報処理推進機構) が共同で運営する脆弱性対策情報ポータルサイト。日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供しています。


・WEBアプリケーション脆弱性診断サービス提供事業者の選定基準について(今後重視したい項目)

今後「WEBアプリケーション脆弱性診断サービス」を提供する企業を選定する際、どのような基準を重視したいかたずねたところ、「料金に対して妥当な技術力があること」「年間診断件数、事業経験年数などの実績」「料金の安さ」といった項目が引き続き上位を占める一方で、第4位に「報告書に診断結果だけでなく、対処方法まで明示してくれること」があがりました。市場ニーズが脆弱性の発見だけでなく、具体的な改善方法を求めるフェーズまで進んでいることが推測されます。

・セキュリティ体制の整備状況とサイバー攻撃による被害経験について

情報システム部門やCISO(情報セキュリティ最高責任者)、専業のセキュリティ部門、SOC(セキュリティ・オペレーション・センター)、CSIRT(Computer Security Incident Response Team)の有無などの整備状況は、企業規模による差はあるものの、セキュリティ対策と監視、緊急対応などの体制が整備されているとする回答が過半を占め※2、サイバー攻撃の危機感に企業が敏感に反応している現状を示しています。その反面、体制整備が進まない企業ほど「サイバー攻撃による被害を受けたことがない/または気づいていない」と回答する傾向が見られ、二極化する現状がうかがえます。

※2 以下いずれかのセキュリティ体制を有している企業を「整備されている」に分類
・専業の情報システム部門が存在する
・CIO、CISOなどのIT・セキュリティの投資や運用管理を行う取締役が存在する
・専業のセキュリティ部門が存在する
・24時間体制でネットワークなどの監視や検知を行うSOCを運用している
・CSIRTなどのセキュリティインシデントに対応するための専門チームが存在する


・まとめ

企業は「WEBアプリケーション脆弱性診断サービス」を提供する事業者を選定する際、価格に見合った技術力や実績などの一般的・総合的評価を元に判断していることが今回の調査で明らかになりました。一方、手動診断の有無やアフターサービスの充実、診断ツールの豊富さ、JVN等の脆弱性報告実績などを示す項目はそれほど重視されておらず、WEBアプリケーション脆弱性診断サービス市場はまだ未成熟な段階にあると考えられます。今後、より自社に適合したサービスを能動的に利用することができるように、セキュリティ企業からの情報発信や、各種調査の実施、メディアによる報道の重要性が増すことはもちろん、サービスの優劣を明確に数値化し、 客観的に判断できる指標の整備・拡充なども望まれると考えられます。

※調査結果全文レポートはこちらからダウンロードできます

https://archives.netsecurity.ne.jp/a.p/134/



※記載されている会社名および製品名は、各社の登録商標または商標です。
※記載されている内容は、発表日現在のものです。その後予告なしに変更されることがあります。