【大企業の脆弱性対策は？】約8割が、脆弱性診断を実施一方で、脆弱性の検出後、対処が遅れていたり、放置してしまっている企業は4割に上る

株式会社ボスコ・テクノロジーズ
2024年08月29日

株式会社ボスコ・テクノロジーズ
～脆弱性対策ができていない理由、「検出した脆弱性に対応する時間が確保できないから」が68.8%で最多～

　株式会社ボスコ・テクノロジーズ（本社：東京都港区、代表取締役：林經正）は、大企業（従業員数1,000名以上）の情報システム担当者104名を対象に、脆弱性対策に関する実態調査を実施しましたので、お知らせいたします。

■調査サマリー

▼本調査のレポートダウンロードはこちら
https://www.bosco-tech.com/document/vulnerability-countermeasure-2408/

■調査概要
調査名称：脆弱性対策に関する実態調査
調査方法：IDEATECHが提供するリサーチデータマーケティング「リサピー(R)︎」の企画によるインターネット調査
調査期間：2024年8月7日～同年8月8日
有効回答：大企業（従業員数1,000名以上）の情報システム担当者104名
※構成比は小数点以下第2位を四捨五入しているため、合計しても必ずしも100とはなりません。

≪利用条件≫
1　情報の出典元として「株式会社ボスコ・テクノロジーズ」の名前を明記してください。
2　ウェブサイトで使用する場合は、出典元として、下記リンクを設置してください。
URL：https://www.bosco-tech.com/smart-gw/

■大企業の約8割が、情報システムに対する「脆弱性診断」を実施
　「Q1.お勤め先では、情報システムに対する脆弱性診断を実施していますか。」（n=104）と質問したところ、「実施している」が76.9%、「実施していない」が14.4%という回答となりました。

Q1.お勤め先では、情報システムに対する脆弱性診断を実施していますか。

・実施している：76.9%
・実施していない：14.4%
・わからない/答えられない：8.7%

■4割が、脆弱性の検出後、「パッチ適用などの対処が遅れていたり、放置しているものがある」と回答
　Q1で「実施している」と回答した方に、「Q2.脆弱性診断の結果、脆弱性を検出した後、パッチ適用などの対処が遅れていたり、放置しているものはありますか。」（n=80）と質問したところ、「ある」が40.0%、「ない」が43.8%という回答となりました。

Q2.脆弱性診断の結果、脆弱性を検出した後、パッチ適用などの対処が遅れていたり、放置しているものはありますか。

・ある：40.0%
・ない：43.8%
・脆弱性を検出したことはない：5.0%
・わからない/答えられない：11.2%

■脆弱性を放置してしまっている原因、「検出した脆弱性に対応する時間が確保できないから」が68.8%で最多
　Q2で「ある」と回答した方に、「Q3.放置してしまっている原因を教えてください。（複数回答）」（n=32）と質問したところ、「検出した脆弱性に対応する時間が確保できないから」が68.8%、「プログラムなど、インベントリ管理が行き届いていないから」が62.5%、「セキュリティ対策チームが十分に配置されていないから」が56.2%という回答となりました。

Q3.放置してしまっている原因を教えてください。（複数回答）

・検出した脆弱性に対応する時間が確保できないから：68.8%
・プログラムなど、インベントリ管理が行き届いていないから：62.5%
・セキュリティ対策チームが十分に配置されていないから：56.2%
・検出した脆弱性に対応するスキルが不足しているから：34.4%
・社内の承認プロセスが遅いから：15.6%
・誰が対処すべきかが明確でないから：12.5%
・その他：0.0%
・わからない/答えられない：6.2%

■放置してしまった結果、生じている問題、「システムのパフォーマンス低下」「セキュリティ費用の増加」など
　Q2で「ある」と回答した方に、「Q4.放置してしまった結果、どのような問題が生じましたか。（複数回答）」（n=32）と質問したところ、「システムのパフォーマンスが低下した」が53.1%、「セキュリティ費用が増加した」が50.0%、「セキュリティ監査で不合格になった」が43.8%という回答となりました。

Q4.放置してしまった結果、どのような問題が生じましたか。（複数回答）

・システムのパフォーマンスが低下した：53.1%
・セキュリティ費用が増加した：50.0%
・セキュリティ監査で不合格になった：43.8%
・業界標準に準拠できなかった：31.2%
・サイバー保険の適用が拒否された：9.4%
・その他：0.0%
・特にない：15.6%
・わからない/答えられない：0.0%

■41.2%が、「3ヶ月以内」に脆弱性の検出/診断を行っている実態
　Q1で「実施している」と回答した方に、「Q5.最後に脆弱性の検出/診断を行ったのはいつごろですか。」（n=80）と質問したところ、「3ヶ月以内」が41.2%、「6ヶ月以内」が20.0%、「1年以内」が10.0%という回答となりました。

Q5.最後に脆弱性の検出/診断を行ったのはいつごろですか。

・3ヶ月以内：41.2%
・6ヶ月以内：20.0%
・1年以内：10.0%
・2年以内：7.5%
・3年以内：0.0%
・3年より前：1.2%
・わからない/答えられない：20.0%

■81.2%が、ネットワーク機器メーカーなどが提供する「脆弱性検出・対応ツール」を活用
　Q1で「実施している」と回答した方に、「Q6.お勤め先では、ネットワーク機器メーカーなどが提供する脆弱性検出・対応ツールを活用していますか。」（n=80）と質問したところ、「非常に活用している」が43.7%、「やや活用している」が37.5%という回答となりました。

Q6.お勤め先では、ネットワーク機器メーカーなどが提供する脆弱性検出・対応ツールを活用していますか。

・非常に活用している：43.7%
・やや活用している：37.5%
・あまり活用していない：5.0%
・全く活用していない：0.0%
・わからない/答えられない：13.8%

■脆弱性検出・対応ツールを活用できていない理由、第1位「設定が複雑だから」（75.0%）
　Q6で「あまり活用していない」「全く活用していない」と回答した方に、「Q7.脆弱性検出・対応ツールを活用できていない理由を教えてください。（複数回答）」（n=4）と質問したところ、「設定が複雑だから」が75.0%という回答となりました。

※本項は母数が少ないですが、ツール未活用者の実態をお伝えする意図で掲載しています。

Q7.脆弱性検出・対応ツールを活用できていない理由を教えてください。（複数回答）

・設定が複雑だから：75.0%
・費用が高いから：25.0%
・操作が難しいから：25.0%
・ツールが現行システムと互換性がないから：25.0%
・ツールの使用が属人化しているから：0.0%
・他の業務を優先しているから：0.0%
・ツールの導入に対する社内の抵抗があるから：0.0%
・その他：0.0%
・わからない/答えられない：0.0%

■脆弱性への対策ができるエンジニアが社内にいる企業は、81.2%に上る
　Q1で「実施している」と回答した方に、「Q8.お勤め先には、脆弱性検出後に、脆弱性への対策を行うことができるスキルを持つエンジニアはいますか。」（n=80）と質問したところ、「はい」が81.2%、「いいえ」が8.8%という回答となりました。

Q8.お勤め先には、脆弱性検出後に、脆弱性への対策を行うことができるスキルを持つエンジニアはいますか。

・はい：81.2%
・いいえ：8.8%
・わからない/答えられない：10.0%

■社内に脆弱性対策ができるエンジニアがいない企業の71.4%が、「外部の専門業者に委託している」と回答
　Q8で「いいえ」と回答した方に、「Q9.どのように脆弱性への対策を行っていますか。（複数回答）」（n=7）と質問したところ、「外部の専門業者に委託している」が71.4%、「パートナー企業に対応を依頼している」が28.6%という回答となりました。

※本項は母数が少ないですが、社内に脆弱性対策のできるエンジニアがいない企業の実態をお伝えする意図で掲載しています。

Q9.どのように脆弱性への対策を行っていますか。（複数回答）

・外部の専門業者に委託している：71.4%
・パートナー企業に対応を依頼している：28.6%
・一時的に外部のエンジニアを雇用している：14.3%
・ツールやソフトウェアに依存している：14.3%
・都度対策を考える：14.3%
・自己学習で都度キャッチアップし、対応している：14.3%
・コンサルタントの助言を受けている：14.3%
・他の部署のエンジニアが対応している：0.0%
・その他：0.0%
・特になし：0.0%
・わからない/答えられない：0.0%

■まとめ
　今回は、大企業（従業員数1,000名以上）の情報システム担当者104名を対象に、脆弱性対策に関する実態調査を実施しました。

　まず、大企業の約8割が、情報システムに対する脆弱性診断を実施していますが、うち4割が、脆弱性の検出後、「パッチ適用などの対処が遅れていたり、放置しているものがある」と回答しており、その理由について、68.8%が「対応する時間が確保できない」を挙げました。また、脆弱性を放置してしまった結果、「システムのパフォーマンスが低下した」（53.1%）や「セキュリティ費用が増加した」（50.0%）などの問題が生じており、41.2%が「3ヶ月以内」に脆弱性を診断/検出した実態があります。さらに、81.2%が、ネットワーク機器メーカーなどが提供する「脆弱性検出・対応ツール」を活用しており、脆弱性対策ができるエンジニアが社内にいる企業は81.2%に上ることが分かりました。

　今回の調査では、多くの企業が脆弱性診断を実施しているにもかかわらず、その対策が不十分である現状が明らかになりました。情報セキュリティの強化が急務である中、脆弱性を放置することは重大なリスクとなり得ます。シンプルでセキュアな次世代型の内部統制ツールの導入は、これらの課題に対する解決策として有効であり、迅速な脆弱性管理とセキュリティリスク軽減に貢献するでしょう。

▼本調査のレポートダウンロードはこちら
https://www.bosco-tech.com/document/vulnerability-countermeasure-2408/

■ストレスフリーで数十万台に繋げられる内部統制ツール「SMART Gateway」とは

＜手元端末・管理対象機器に特別なアプリケーション等の導入が不要のため、スピーディな導入を実現！＞

　SMART Gatewayは、「組織内部のセキュリティリスク軽減に貢献するツール」です。各組織・企業において、情報漏洩などのインシデントリスクがあり、その原因として、「不正操作や誤操作・うっかりミス」など "組織内部" に起因するものがあります。SMART Gateway はそういったリスクの軽減に貢献します。これまで大手通信事業会社や官公庁、自治体、金融機関と言った厳しいセキュリティレベルを求められる先での導入実績を積み上げてきました。1台のSMART Gatewayサーバで数十万台を管理可能で、同時に1,000セッションの録画が可能など、一般的なシステムの数十倍のコストパフォーマンスを実現しています。

また、今回取り上げた脆弱性対策は、事後のアクションを含めプラグインで対策できます。詳しくは弊社までお問い合わせください。

▼詳しくはこちら
SMART Gateway 製品情報リンク：https://www.bosco-tech.com/smart-gw/

■株式会社ボスコ・テクノロジーズについて
　自動化・仮想化・セキュリティの技術開発を強みに、国内最大手通信事業会社の基幹システム開発、官公庁のネットワークシステム開発に従事し、情報社会インフラ、交通社会インフラを支えてきました。また、ソフトウェア製品 SMART Gateway を開発し、官公庁、自治体、国内大手企業を始め多数の組織に展開しています。

URL　　：https://www.bosco-tech.com/
所在地　：東京都港区西新橋一丁目 6 番 13 号　虎ノ門吉荒ビル 4F
設立　　：2012年2月29日
代表　　：林經正
事業内容：社会インフラ・サービス開発事業、技術コンサルティング事業