・WEBアプリケーション脆弱性診断サービス実施回数は「2~4回」が42.5%
年間のWEBアプリケーション脆弱性診断実施回数で最も比率が高かったのは2~4回(42.5%)だった。1回あたりの予算は20万円未満(29.1%)が最も高い比率を占めている。
・現行予算額が大きい企業ほど予算を増加させたい意向を持つ
48.6%が診断の現行予算額を妥当であると考える一方、35.6%が予算を減らしたいと考え、15.7%が増やしたいと考えていることがわかった。減らしたいと考える比率は、診断1回あたりの予算が20万円未満の層で最多(41.9%)となり、反対に増やしたいと考える比率は診断1回あたりの予算が500万円以上の層で最多(39.0%)となった。おおむね現行予算額が大きい企業ほど、予算を増加させたい意向を持っていることがうかがえる。
・サービス提供事業者の選定基準では技術力、実績、料金が上位
「WEBアプリケーション脆弱性診断サービス」を提供する企業を選定する際、どのような基準を重視しているかをたずねたところ、「料金に対して妥当な技術力があること」「年間診断件数、事業経験年数などの実績」「料金の安さ」などの基準が上位を占めた。手動診断の有無や診断ツールの豊富さ、アフターサービスの充実、JVN(Japan Vulnerability Notes)等の脆弱性報告実績などの基準よりも高い傾向となっています。
今後「WEBアプリケーション脆弱性診断サービス」を提供する企業を選定する際、どのような基準を重視したいかたずねたところ、「料金に対して妥当な技術力があること」「年間診断件数、事業経験年数などの実績」「料金の安さ」といった項目が引き続き上位を占める一方で、第4位に「報告書に診断結果だけでなく、対処方法まで明示してくれること」があがった。市場ニーズが脆弱性の発見だけでなく、具体的な改善方法を求めるフェーズまで進んでいることが推測される。
・セキュリティ対策と監視、緊急対応体制が整備されているとする回答が多くを占める
情報システム部門やCISO(情報セキュリティ最高責任者)、専業のセキュリティ部門、SOC(セキュリティ・オペレーション・センター)、CSIRT(Computer Security Incident Response Team)の有無などの整備状況は、企業規模による差はあるものの、セキュリティ対策と監視、緊急対応などの体制が整備されているとする回答が過半を占め、サイバー攻撃の危機感に企業が敏感に反応している現状を示している。
その反面、体制整備が進まない企業ほど「サイバー攻撃による被害を受けたことがない/または気づいていない」と回答する傾向が見られ、二極化する現状がうかがえる。「整備されている」に分類されたのは、次のいずれかのセキュリティ体制を有している企業になる。
- 専業の情報システム部門が存在する
- CIO、CISOなどのIT・セキュリティの投資や運用管理を行う取締役が存在する
- 専業のセキュリティ部門が存在する
- 24時間体制でネットワークなどの監視や検知を行うSOCを運用している
- CSIRTなどのセキュリティインシデントに対応するための専門チームが存在する
・まとめ――サービスの優劣を数値化し客観的判断可能な指標整備が望まれる
企業は「WEBアプリケーション脆弱性診断サービス」を提供する事業者を選定する際、価格に見合った技術力や実績などの一般的・総合的評価を元に判断していることが今回の調査で明らかになった。一方、手動診断の有無やアフターサービスの充実、診断ツールの豊富さ、JVN等の脆弱性報告実績などを示す項目はそれほど重視されておらず、WEBアプリケーション脆弱性診断サービス市場はまだ未成熟な段階にあると考えられる。
今後、より自社に適合したサービスを能動的に利用することができるように、セキュリティ企業からの情報発信や、各種調査の実施、メディアによる報道の重要性が増すことはもちろん、サービスの優劣を明確に数値化し、客観的に判断できる指標の整備・拡充なども望まれる。
