システム開発者1,000名に聞いた！「システム開発における脆弱性診断の実態調査」を発表

エムオーテックス株式会社（本社：大阪市淀川区、代表取締役社長：徳毛 博幸、以下MOTEX）は、システム開発者 約1,000名を対象に実施した「システム開発における脆弱性診断の実態調査」を実施し、その結果を発表しました。 

■ 調査背景 

近年、情報システムの安全性を確保することは、組織にとって不可欠な取り組みとなっています。サイバー攻撃の手法が高度化し続ける中、システム開発の段階で脆弱性を診断し、早期に対策を講じることが求められています。 

そこで今回、MOTEXでは、システム開発の担当者 約1,000名を対象に、脆弱性診断の現状や課題、実際に診断を行っている担当者の視点から見た効果や改善点を明らかにすべく、脆弱性診断の実態に関する調査を実施しました。 

　　

■ 「システム開発における脆弱性診断の実態調査」の概要 

【調査内容】 

・システム開発の際、脆弱性対策を実施していますか？ 

・システム開発において脆弱性対策が必要になったきっかけを教えてください 

・システム開発の際に実施している脆弱性対策を教えてください 

・過去に脆弱性診断を実施したことがありますか？ 

・過去に脆弱性診断を実施していない理由を教えてください 

・過去に脆弱性診断を実施した際、どのように実施しましたか？ 

・脆弱性診断をセキュリティ企業に依頼する際、重視する点を教えてください（複数回答可） 

・脆弱性診断の結果、どのような脆弱性が発見されましたか？ （複数回答可） 

・脆弱性診断を実施してどのような効果を感じましたか？（複数回答可） 

・脆弱性診断の頻度はどのくらいですか？ 

・脆弱性診断の結果をどのように活用していますか？（複数回答可） 

・システム開発の際、どのようなセキュリティ対策を実施していますか？（複数回答可） 

・ここ数年（3年程）でシステムやWebサイトのセキュリティ対策、脆弱性対策にかかるコストはどのようになりましたか？ 

・システム開発を委託もしくは受託する際、脆弱性診断（もしくは脆弱性対策）は契約に含まれていますか？ 

・システム開発の際、セキュリティ対策に関して自社とサービス提供者の責任範囲は明確になっていますか？ 

・取引先のセキュリティに関する要望は増えましたか？ 

・今後の脆弱性対策において、最も重要だと思う要素は何ですか？ 

 　　

【調査方法】 

　　

■ 調査内容のダイジェスト 

サイバー攻撃の脅威の増大に伴い、脆弱性診断のニーズが高まる一方で、診断精度やコスト、社内外のリソース確保など、多くの課題も存在しています。 

本調査では、システム開発における脆弱性対策や診断の実態、課題感や担当者の意識が明らかとなっています。皆様が今後、効果的な診断を検討・実施し、安全で信頼性の高いシステム構築やセキュリティ体制強化の一助となれば幸いです。ぜひ資料をダウンロードのうえ、ご確認ください。 

　　

■ TOPIC 1： システム開発における脆弱性対策の実施状況 

～7割以上の企業がシステム開発の際に脆弱性対策を実施～ 

  

本調査では、はじめに、システム開発における脆弱性対策の実施状況についてお伺いしました。 

　　

システム開発時に『脆弱性対策を実施している』と回答した企業は74％という結果となりました。 

　 

また、システム開発において脆弱性対策が必要になった背景としては、『自社・グループのセキュリティポリシーに基づいて（55％）』という回答が最も多く、次いで『法律・（業界団体などによる）規制変更に基づいて（40％）』、『取引先からの実施依頼（39％）』という結果となりました。内部統制やガバナンス強化に伴う、社内ポリシーに基づく取り組みが多いほか、昨今、サプライチェーンのセキュリティが問題となるケースを受けて強化されている業界ガイドラインや規制などへの対応、取引先からのセキュリティ要求への対応なども、背景となっていることがうかがえます。

　　

なお、システム開発の際に実施している具体的な脆弱性対策としては、「要件定義」や「設計」の段階といった上流工程で行っているという回答が多く、システム開発や運用において品質管理やセキュリティ対策を、従来よりも前倒し（＝工程の左側）で実施する「シフトレフト」の取り組みが進展していることが分かりました。 

　　　　 

■ TOPIC 2： 脆弱性診断の実施方法や予算の傾向 

～脆弱性診断も7割近くの企業が実施、その半数は外部のベンダーに依頼～

 　

続いて、脆弱性診断の実施状況についてお伺いしました。 

　　

システム開発において脆弱性診断を『実施したことがある』と回答した企業は、67％という結果となりました。 

　　 　　

また、そのうちの半数以上となる54％の企業では、診断をセキュリティベンダーに外注しており、専門家の活用により、診断精度の向上や自社リソース不足の解消を図っていることがうかがえます。 

　　

なお、外部ベンダーに診断を依頼する際には、『実績の豊富さ』や『診断の技術力と対応力の高さ』などが重視されていることも分かりました。

　　 

■TOPIC 3： 定期的な脆弱性診断の重要性 

～約半数が「インシデントを予防できた」と実感～ 

　 

それでは、脆弱性診断を実施している企業は、実際どのような効果を感じているのでしょうか？

　　

 

診断では実際に、「クロスサイトスクリプティング」や「アクセス制御の不備」など、Webサイトにおける脆弱性が多く発見されています。過去に脆弱性診断を実施した企業のうち、約半数にあたる47％が『セキュリティインシデントを予防できている』と回答し、予防効果を実感していることが分かりました。 

また、『外部に診断を依頼したことによるコストメリット（46％）』と回答した企業も多く、外部の専門家に委託することで、自社での診断員育成が不要となった点にコストメリットを感じていることも分かりました。 

　　

脆弱性診断の実施頻度については、『半年ごと（67％）』という回答が最も多い結果となりました。システムの更新に伴い新たな脆弱性が生じ得るため、定期的な診断の必要性が示されています。 

　　　

 ■ 調査結果に対する Webセキュリティ専門家 徳丸 浩 氏のコメント（一部抜粋） 

まず、脆弱性対策として、「要件定義で脅威分析を実施している」、「セキュリティ要件を策定して要件定義に盛り込んでいる」、「設計の段階で脆弱性分析を行っている」が半数程度の組織で実施されることが素晴らしいと思いました。上流工程でセキュリティを組み込んでいることになるわけで、いわゆる「シフトレフト」が日本でも根づき始めていることを示していると心強く思いました。  

 　　

一方、脆弱性対策が必要になったきっかけとして、一番多い理由は自社のポリシー等であり、これはある意味当然ですが、次に多いのが取引先からの依頼や法律や規制の変更であり、いわゆる「外圧」によりセキュリティ対策を行っているケースが少なくない事情もうかがえます。 

 　　

脆弱性診断について見ると、セキュリティ人材の確保は年々難しくなってきていることもあり、専門性の高い企業に脆弱性診断等の施策を外注することにより、効果的なセキュリティインシデント対策が期待されていると感じました。 

　　　　

◎ 徳丸 浩 氏について 

イー・ガーディアングループCISO 兼 EGセキュアソリューションズ株式会社　取締役 CTO 

1985年京セラ株式会社に入社後、ソフトウェアの開発、企画に従事。1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティに興味を持つ。2004年同分野を事業化。​ 

2008年に独立し、Webアプリケーションセキュリティを専門分野とするHASHコンサルティング株式会社（現EGセキュアソリューションズ株式会社）を設立。脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動を行っている。 

　　

　　

調査の詳細は上記よりダウンロードいただけます。せひご覧いただき、皆様のシステム開発プロセスにおいて、本調査結果が有益な情報となり、より安全なシステム構築の一助となれば幸いです。 

  　　

■ MOTEXについて（調査発表元） 

MOTEXは「Secure Productivity」をミッションに掲げ、プロダクト・サービスの提供を通じて、お客様が抱えるサイバーセキュリティの課題解決を支援します。安全と生産性の両方を実現し、お客様がエンドポイントやネットワーク、ITサービスを安心してご利用いただけるよう、これまで培ってきた技術と豊富な知見で、世界水準のプロダクト・サービスをご提供します。 

　　 

MOTEXが提供する「LANSCOPE」は、エンドポイントにおけるIT資産管理・情報漏洩対策・ウイルス対策から、ネットワークやクラウド環境における脆弱性診断（セキュリティ診断）、各種セキュリティソリューションの導入・運用、総合的なコンサルティングまで、サイバーセキュリティのさまざまな領域に対応する幅広いプロダクト・サービスをラインナップに取り揃えています。 

　　

　　

＜関連するサービスのご紹介＞ 

脆弱性診断・セキュリティソリューション「LANSCOPE プロフェッショナルサービス」  

MOTEXではサイバーセキュリティのさまざまな領域に対し、情報処理安全確保支援士などの難関国家資格を有するセキュリティエンジニアが、プロフェッショナルの知見を活かした脆弱性診断を提供しています。 

老舗診断ベンダーとして、金融業をはじめとする高いセキュリティレベルが求められる企業・組織においても豊富な診断実績を持ち、専門的な知見・ノウハウを持ったセキュリティエンジニアが、お客様のリリーススケジュールや開発体制に柔軟に対応しながら手作業での診断を行い、具体的な対策を反映したレポートを提供することで、発見されたリスクへの対処をご支援しています。 

  　

▼ 脆弱性診断（セキュリティ診断）サービスについて 

https://www.lanscope.jp/professional-service/service/assess_consulting/about_assess/ 

　　

■ MOTEX会社概要 

　　

・記載の会社名およびプロダクト名・サービス名は、各社の商標または登録商標です。 

・記載の内容は発表日時点のものです。最新の情報と異なる場合がございますのでご了承ください。