エムオーテックス(MOTEX)は2025年9月30日、システム開発者約1,000名を対象に行った「システム開発における脆弱性診断の実態調査」の結果を発表した。
調査概要
- 調査期間:2025年3月13日(木)~2025年3月17日(月)
- 調査方法:インターネット調査
- 調査人数:1,028名(従業員規模300名未満:315名/従業員規模300~1,000名未満:371名/従業員規模1,000名以上:342名)
- 調査対象:システム開発・セキュリティに携わる担当者
- モニター提供元:PRIZMAリサーチ
- 調査機関:PRIZMA
調査結果
システム開発における脆弱性対策の実施状況
システム開発における脆弱性対策の実施状況について聞いたところ、システム開発時に「脆弱性対策を実施している」と回答した企業は74%だった。
また、システム開発において脆弱性対策が必要になった背景としては、「自社・グループのセキュリティポリシーに基づいて(55%)」という回答が最も多く、次いで「法律・(業界団体などによる)規制変更に基づいて(40%)」、「取引先からの実施依頼(39%)」という結果に。内部統制やガバナンス強化にともなう、社内ポリシーに基づく取り組みが多いほか、昨今サプライチェーンのセキュリティが問題となるケースを受けて強化されている業界ガイドラインや規制などへの対応、取引先からのセキュリティ要求への対応なども背景となっているという。

なお、システム開発の際に実施している具体的な脆弱性対策としては、「要件定義」や「設計」の段階といった上流工程で行っているという回答が多く、システム開発や運用において品質管理やセキュリティ対策を、従来よりも前倒し(=工程の左側)で実施する「シフトレフト」の取り組みが進展していることが分かった。

脆弱性診断の実施方法や予算の傾向
脆弱性診断の実施状況について聞いたところ、システム開発において脆弱性診断を「実施したことがある」と回答した企業は、67%だった。
また、そのうちの54%の企業では、診断をセキュリティベンダーに外注しており、専門家の活用により診断精度の向上や自社リソース不足の解消を図っているという。

なお、外部ベンダーに診断を依頼する際には、「実績の豊富さ」や「診断の技術力と対応力の高さ」などが重視されていることも分かった。

定期的な脆弱性診断の重要性
脆弱性診断を実施している企業は、実際どのような効果を感じているのか。診断では実際に、「クロスサイトスクリプティング」や「アクセス制御の不備」など、Webサイトにおける脆弱性が多く発見されているという。過去に脆弱性診断を実施した企業のうち、約半数にあたる47%が「セキュリティインシデントを予防できている」と回答し、予防効果を実感しているとのことだ。
また、「外部に診断を依頼したことによるコストメリット(46%)」と回答した企業も多く、外部の専門家に委託することで、自社での診断員育成が不要となった点にコストメリットを感じている。

脆弱性診断の実施頻度については、「半年ごと(67%)」という回答が最も多い結果となった。

【関連記事】
・MOTEX、自動車産業向けサイバーセキュリティガイドラインの対応サポートを提供へ
・約80%の情シス担当者がクラウド型のIT資産管理ツールを導入もしくは検討と回答──MOTEX調査
・MOTEX、スマホ・タブレット・PCをクラウドで一元管理できる「LanScope An」最新版をリリース
この記事は参考になりましたか?
- 関連リンク
- この記事の著者
-
EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)
「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア