1月24日、NHNテコラスは「Webアプリケーション脆弱性診断サービス」に関するアンケートを実施し、利用実態調査を行なったことを発表した。アンケートはイードが運営する情報セキュリティ専門メディア「ScanNetSecurity」と共同で行なったもので、「Webアプリケーション脆弱性診断サービス」を利用した経験のある企業の情報システム部門担当者等508名を対象に、WEBアプリケーションの脆弱性診断を行なう際、どのような基準で診断会社を選定するかを調査したという。
まず、Webアプリケーション脆弱性診断サービスの1回あたりの予算については、年間のWebアプリケーション脆弱性診断実施回数でもっとも比率が高かったのは2~4回(42.5%)で、1回あたりの予算は20万円未満(29.1%)がもっとも高い比率を占めているという。
また、Webアプリケーション脆弱性診断サービスの予算に関する考え方(予算の増減意向)については、48.6%が診断の現行予算額を妥当であると考えている一方、35.6%が予算を減らしたいと考え、15.7%が増やしたいと考えていることがわかったという。減らしたいと考える比率は診断1回あたりの予算が20万円未満の層で最多(41.9%)となり、反対に増やしたいと考える比率は診断1回あたりの予算が500万円以上の層で最多(39.0%)となっている。おおむね現行予算額が大きい企業ほど、予算を増加させたい意向を持っていることがうかがえるという。
さらに、Webアプリケーション脆弱性診断サービス提供事業者の選定基準で、どのような基準を重視しているかをたずねたところ、「料金に対して妥当な技術力があること」「年間診断件数、事業経験年数などの実績」「料金の安さ」などの基準が上位を占めた。これらは手動診断の有無や診断ツールの豊富さ、アフターサービスの充実、JVN(Japan Vulnerability Notes)等の脆弱性報告実績などの基準よりも高い傾向となっているという。
今後、Webアプリケーション脆弱性診断サービスを提供する企業を選定する際、どのような基準を重視したいかたずねたところ、「料金に対して妥当な技術力があること」「年間診断件数、事業経験年数などの実績」「料金の安さ」といった項目が引き続き上位を占めた。一方で第4位に「報告書に診断結果だけでなく、対処方法まで明示してくれること」が上がっており、市場ニーズが脆弱性の発見だけでなく、具体的な改善方法を求めるフェーズまで進んでいることが推測されるという。
情報システム部門やCISO(情報セキュリティ最高責任者)、専業のセキュリティ部門、SOC(セキュリティ・オペレーション・センター)、CSIRT(Computer Security Incident Response Team)の有無などの整備状況は、企業規模による差はあるものの、セキュリティ対策と監視、緊急対応などの体制が整備されているとする回答が過半を占め、サイバー攻撃の危機感に企業が敏感に反応している現状が明らかになった。その反面、体制整備が進まない企業ほど「サイバー攻撃による被害を受けたことがない/または気づいていない」と回答する傾向が見られ、二極化する現状がうかがえるという。
NHNテコラスでは「企業は「Webアプリケーション脆弱性診断サービス」を提供する事業者を選定する際、価格に見合った技術力や実績などの一般的・総合的評価を元に判断していることが今回の調査で明らかになりました」と述べるほか、「今後、より自社に適合したサービスを能動的に利用することができるように、セキュリティ企業からの情報発信や、各種調査の実施、メディアによる報道の重要性が増すことはもちろん、サービスの優劣を明確に数値化し、 客観的に判断できる指標の整備・拡充なども望まれると考えられます」とまとめている。
調査結果全文レポートは以下からダウンロードできる。
