SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine Day 2022

2022年6月28日(火)13:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Press

「情報漏えいリスクはシンプルな対策で減らせる」――ServiceNowが脆弱性対策の現状を調査

 ServiceNowは、米Ponemon Instituteとの共同調査レポート「脆弱性対策の現状:パッチ適用への高まる関心」を4月5日に発表した。調査結果から、企業における様々な課題が浮き彫りになっている。そこで今回、調査結果から読み取れることと実施すべき対応について、ServiceNowのプロダクトマーケティングのシニアディレクターであるピエロ・デパオリ氏、ServiceNow Japanのセキュリティソリューションの技術統括である高橋卓也氏、同SecOps事業部長である北川剛氏からお話をうかがった。

日本の回答者の48%が過去2年間で情報漏えいを経験

Piero DePaoli(ピエロ・デパオリ)氏
ServiceNow セキュリティ&リスク プロダクトマーケティング シニアディレクター

――ServiceNowのセキュリティへの取り組みと今回の調査概要について教えてください。

 デパオリ氏:まず、ServiceNowは2004年に創業した会社で、主力はSaaS型サービスマネジメントツール「ServiceNow」です。ITSM(ITサービスマネジメント)を中心に世界で5,300社の導入実績があります。セキュリティに関するチームは約2年半ほど前に立ち上げました。セキュリティに関しては、セキュリティオペレーションとガバナンス、リスク、コンプライアンスの2つの分野でソリューションを提供しています。

 ガバナンス、リスク、コンプライアンスの分野においては、ガートナーによる最新のインテグレーテッドリスクマネジメントのマジッククアドラントで、リーダーに位置づけられました。今回の調査は、セキュリティオペレーション分野での成果となります。

 今回発表した調査レポート「脆弱性対策の現状:パッチ適用への高まる関心」は、世界9カ国の情報セキュリティ担当者、約3000名(このうち日本は394名)を対象に実施したものです。現在、世界中でさまざまな形でセキュリティの問題や、情報漏えいが発生しています。その現状や原因を調査することが大きな目的です。

 主な調査結果としてまず申し上げたいのが、「日本の回答者の約半数(48%)が過去2年間で情報漏えいを経験している」という点。これは世界平均とほぼ同水準です。このうちの64%(世界平均57%、日本はオランダについて2番目に高い割合)の回答者が、すでにパッチが提供されているにもかかわらず、ソフトウェアの脆弱性にそのパッチを適用しなかったことが、情報漏えいの原因であったと述べています。

 また、パッチ適用までのチーム間の作業調整に、日本では平均12.72日(世界9カ国平均で12.1日)を要していました。一方で、情報漏えいを経験したグループとしていないグループそれぞれに脆弱性スキャニングしたかどうかを聞いてみたところ、スキャニングを実施するだけで情報漏えいの可能性を20%削減できることが分かりました。パッチの適用やスキャニングといった、ある意味シンプルでベーシックな対応を行うことで、情報漏えいのリスクは大幅に低減できると結論づけています。

――調査により判明した課題は何でしょう。

デパオリ氏:いくつかのことが明らかになりました。一点目は、人材。現状、セキュリティを担当できる人がいない。あるいは多くの作業が手作業で行われているので、作業負荷が過剰な状態にあることが分かりました。また、多くの組織が、システムや環境を守るプロダクトにかなりの投資をしています。

 そして万一、防御を破られたときのディテクションにも多くの投資がされています。アラートが上がってきたときに対応するレスポンスの分野は、あまり投資されていない状況にあることも分かりました。これは、プロテクションとディテクションに比べてマニュアルでの対応が主流であるためだと思われます。マニュアルという意味は、アラートが上がった、脅威が発見されたときに、その対応や管理がメールやスプレッドシートを使った手作業が中心になっているということです。

――世界と比べて、日本は特殊性があるのでしょうか。

デパオリ氏:基本的なトレンドは、世界も日本も変わりません。ただ、日本はその程度が大きいです。これは、日本には様々な業界があり、その規模に対して人材が足りないという特徴があります。その数の面での規模による差が出た形だと思います。

 また、今回の調査は従業員数が1000名以上の企業を対象としていますが、日本は中小規模企業が多いことも特徴で、設備的にも人材的にも対策が難しいと思います。中小規模企業は、まず自社が利用しているシステムがどういったものなのか、そこにどのような脆弱性があるのかを把握することが重要です。

高橋氏:他国と違う日本の特徴として感じていることは、脆弱性スキャナの利用率がものすごく低いということです。グローバルでは、規則に対する罰則や罰金が大きいので、しっかりお金をかけて対応しています。しかし日本は、規則はあるものの罰則はそれほど強くありません。もちろんPCI DSS準拠などでは脆弱性スキャナを利用しますが、それ以外は手作業のケースが非常に多い印象です。

 また、グローバルの傾向と比べると、日本で脆弱性スキャナを使っているお客様の比率はあまり変わらないように見えます。しかし、脆弱性スキャナを適用するアセットのボリュームという観点で見ると、全く桁が違います。その背後にあるプロセスに関しても、マニュアルワークをされているお客様が非常に多いです。一方で、グローバルのお客様は、例えばサーバ側は全部導入しているので、それをどう効率化するかといった次のステップの話をされています。日本はまだまだそこまで行っていないですね。

次のページ
シンプルかつベーシックなセキュリティ対策とは

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

吉澤 亨史(ヨシザワ コウジ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/11082 2018/09/06 06:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年6月28日(火)13:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング