この調査は、国内のユーザー企業のITリーダーを対象にしたもので、サイバー攻撃のうち、よく話題に上る外部公開Webサイトへの攻撃への対策について質問した。「外部公開Webサイト」への「外部からの攻撃」に対する各対策の実施状況を尋ねた結果、約6割の企業が、図に示す7項目について対策を実施済みであることが判明した。
「7項目の基本的な対策を約6割の企業が実施済みという結果は当然」
今回の結果について、ガートナーのリサーチ部門の礒田優一主席アナリストは、「『ポリシーの作成(開発方針や外部委託方針など)』『ガイドラインの作成、教育(開発者向けの教育、外部委託先の管理など)』『ネットワークやサーバ周辺の基本設計』『認証/アクセス権管理』『ファイアウォール、IPS、IDS、UTM、次世代ファイアウォール』『アンチウィルス・ソフトウェアの導入』『サーバ、ネットワーク機器などへのタイムリーなパッチ適用』の7項目の基本的な対策について約6割の企業が実施済みであるという結果は、当然のことともいえます」と述べている。
さらに、「一方、こうした対策をまだ実施していない企業は、最低限の対策もできていないと見なされる可能性があるため、早急に対応を検討すべきです。外部公開Webサイトは、保有する情報の機密性、インタラクティブ性、サービスの可用性、法規制やコンプライアンスへの準拠など、その性質によってリスクの大きさが異なります。基本的な対策としてどこまで実施すべきかの判断がつかない企業は、外部公開Webサイトの性質にかかわらず、上記7項目を最低限の対策であると位置付け、対策を実施する必要があります」と述べている。
「一貫性ある対策の指針や計画を策定することが重要」
また、基本的な対策以外に、追加的に取られている対策に注目すると、それらは「プラットフォーム関連の対策」「アプリケーション関連の対策」「データベース関連の対策」「その他の対策」の4つに分類することができ、この分類の順に「実施済み」であると回答した企業の割合が高いという結果となった。
それぞれに分類された対策は、プラットフォーム関連の対策が、「プラットフォーム(ネットワーク、OSやミドルウェア)の脆弱性診断」「分散型サービス拒否(DDoS)攻撃対策」「Web改ざん検知」で、アプリケーション関連の対策は、「動的アプリケーション・セキュリティ・テスト(DAST:組み上がったアプリケーションに対するテスト)」「静的アプリケーション・セキュリティ・テスト(SAST:ソースコード診断)」「Webアプリケーション・ファイアウォール(WAF)」、また、データベース関連の対策は「データベース暗号化、トークン化、マスキング」「データベースの監査と保護(DAP)」であり、その他の対策としては、「セキュリティ情報/イベント管理(SIEM)」「Webフラウド・ディテクション」がある。
礒田主席アナリストは、「外部公開Webサイトへの攻撃は、サイバー攻撃の中でも問い合わせが多いものの1つです。過去から現在に至るまで、企業の外部公開Webサイトには頻繁に攻撃が仕掛けられており、ひとたび被害が発生すれば、ビジネスや業務に深刻な影響が及びます。しかしながら、関連する対策やテクノロジが多岐にわたり、またどの程度の対策をどこまで実施すべきかについての具体的な基準が存在しないため、場当たり的な対策になりがちでもあります。まずはリスク・アプローチが基本になりますが、企業はこうした世間一般の対策動向を1つの判断材料にすることにより、一貫性ある対策の指針や計画を策定することが重要になります」としている。
なお、ガートナーでは、7月13~15日、虎ノ門ヒルズフォーラム(東京都港区)において、「ガートナー セキュリティ & リスク・マネジメント サミット 2015」を開催し、礒田主席アナリストをはじめとするガートナーの国内外のアナリスト/コンサルタントが、デジタル・ビジネスに備える「人材、統制、サイバー」について、最新動向を踏まえたセッションを展開する。
