日本の回答者の48%が過去2年間で情報漏えいを経験
――ServiceNowのセキュリティへの取り組みと今回の調査概要について教えてください。
デパオリ氏:まず、ServiceNowは2004年に創業した会社で、主力はSaaS型サービスマネジメントツール「ServiceNow」です。ITSM(ITサービスマネジメント)を中心に世界で5,300社の導入実績があります。セキュリティに関するチームは約2年半ほど前に立ち上げました。セキュリティに関しては、セキュリティオペレーションとガバナンス、リスク、コンプライアンスの2つの分野でソリューションを提供しています。
ガバナンス、リスク、コンプライアンスの分野においては、ガートナーによる最新のインテグレーテッドリスクマネジメントのマジッククアドラントで、リーダーに位置づけられました。今回の調査は、セキュリティオペレーション分野での成果となります。
今回発表した調査レポート「脆弱性対策の現状:パッチ適用への高まる関心」は、世界9カ国の情報セキュリティ担当者、約3000名(このうち日本は394名)を対象に実施したものです。現在、世界中でさまざまな形でセキュリティの問題や、情報漏えいが発生しています。その現状や原因を調査することが大きな目的です。
主な調査結果としてまず申し上げたいのが、「日本の回答者の約半数(48%)が過去2年間で情報漏えいを経験している」という点。これは世界平均とほぼ同水準です。このうちの64%(世界平均57%、日本はオランダについて2番目に高い割合)の回答者が、すでにパッチが提供されているにもかかわらず、ソフトウェアの脆弱性にそのパッチを適用しなかったことが、情報漏えいの原因であったと述べています。
また、パッチ適用までのチーム間の作業調整に、日本では平均12.72日(世界9カ国平均で12.1日)を要していました。一方で、情報漏えいを経験したグループとしていないグループそれぞれに脆弱性スキャニングしたかどうかを聞いてみたところ、スキャニングを実施するだけで情報漏えいの可能性を20%削減できることが分かりました。パッチの適用やスキャニングといった、ある意味シンプルでベーシックな対応を行うことで、情報漏えいのリスクは大幅に低減できると結論づけています。
――調査により判明した課題は何でしょう。
デパオリ氏:いくつかのことが明らかになりました。一点目は、人材。現状、セキュリティを担当できる人がいない。あるいは多くの作業が手作業で行われているので、作業負荷が過剰な状態にあることが分かりました。また、多くの組織が、システムや環境を守るプロダクトにかなりの投資をしています。
そして万一、防御を破られたときのディテクションにも多くの投資がされています。アラートが上がってきたときに対応するレスポンスの分野は、あまり投資されていない状況にあることも分かりました。これは、プロテクションとディテクションに比べてマニュアルでの対応が主流であるためだと思われます。マニュアルという意味は、アラートが上がった、脅威が発見されたときに、その対応や管理がメールやスプレッドシートを使った手作業が中心になっているということです。
――世界と比べて、日本は特殊性があるのでしょうか。
デパオリ氏:基本的なトレンドは、世界も日本も変わりません。ただ、日本はその程度が大きいです。これは、日本には様々な業界があり、その規模に対して人材が足りないという特徴があります。その数の面での規模による差が出た形だと思います。
また、今回の調査は従業員数が1000名以上の企業を対象としていますが、日本は中小規模企業が多いことも特徴で、設備的にも人材的にも対策が難しいと思います。中小規模企業は、まず自社が利用しているシステムがどういったものなのか、そこにどのような脆弱性があるのかを把握することが重要です。
高橋氏:他国と違う日本の特徴として感じていることは、脆弱性スキャナの利用率がものすごく低いということです。グローバルでは、規則に対する罰則や罰金が大きいので、しっかりお金をかけて対応しています。しかし日本は、規則はあるものの罰則はそれほど強くありません。もちろんPCI DSS準拠などでは脆弱性スキャナを利用しますが、それ以外は手作業のケースが非常に多い印象です。
また、グローバルの傾向と比べると、日本で脆弱性スキャナを使っているお客様の比率はあまり変わらないように見えます。しかし、脆弱性スキャナを適用するアセットのボリュームという観点で見ると、全く桁が違います。その背後にあるプロセスに関しても、マニュアルワークをされているお客様が非常に多いです。一方で、グローバルのお客様は、例えばサーバ側は全部導入しているので、それをどう効率化するかといった次のステップの話をされています。日本はまだまだそこまで行っていないですね。
