Article Detail
ガートナー ジャパン、日本企業のサイバー攻撃への取り組みに関する調査結果を発表
ガートナー、日本企業のサイバー攻撃への取り組みに関する調査結果を発表
約6割の企業は基本的な対策を「実施済み」と回答
『ガートナー セキュリティ&リスク・マネジメント サミット 2015』
(7月13〜15日 虎ノ門ヒルズフォーラム)において、アナリストが知見を提供
ガートナー ジャパン株式会社(所在地:東京都港区、代表取締役社長:日高 信彦)は本日、日本企業のサイバー攻撃への取り組みに関する調査結果を発表しました。
ユーザー企業のITリーダーを対象にした本調査では、サイバー攻撃のうち、よく話題に上る外部公開Webサイトへの攻撃への対策について質問しました。「外部公開Webサイト」への「外部からの攻撃」に対する各対策の実施状況を尋ねた結果、約6割の企業が、図1に示す7項目について対策を実施済みであることが判明しました。
※図1は添付の関連資料を参照
今回の結果について、ガートナーのリサーチ部門主席アナリストの礒田 優一は、次のように述べています。「『ポリシーの作成(開発方針や外部委託方針など)』『ガイドラインの作成、教育(開発者向けの教育、外部委託先の管理など)』『ネットワークやサーバ周辺の基本設計』『認証/アクセス権管理』『ファイアウォール、IPS、IDS、UTM、次世代ファイアウォール』『アンチウィルス・ソフトウェアの導入』『サーバ、ネットワーク機器などへのタイムリーなパッチ適用』の7項目の基本的な対策について約6割の企業が実施済みであるという結果は、当然のことともいえます。一方、こうした対策をまだ実施していない企業は、最低限の対策もできていないと見なされる可能性があるため、早急に対応を検討すべきです。外部公開Webサイトは、保有する情報の機密性、インタラクティブ性、サービスの可用性、法規制やコンプライアンスへの準拠など、その性質によってリスクの大きさが異なります。基本的な対策としてどこまで実施すべきかの判断がつかない企業は、外部公開Webサイトの性質にかかわらず、上記7項目を最低限の対策であると位置付け、対策を実施する必要があります」
また、基本的な対策以外に、追加的に取られている対策に注目すると、それらは「プラットフォーム関連の対策」「アプリケーション関連の対策」「データベース関連の対策」「その他の対策」の4つに分類することができ、この分類の順に「実施済み」であると回答した企業の割合が高いという結果となりました。
それぞれに分類された対策は、プラットフォーム関連の対策が、「プラットフォーム(ネットワーク、OSやミドルウェア)の脆弱性診断」「分散型サービス拒否(DDoS)攻撃対策」「Web改ざん検知」で、アプリケーション関連の対策は、「動的アプリケーション・セキュリティ・テスト(DAST:組み上がったアプリケーションに対するテスト)」「静的アプリケーション・セキュリティ・テスト(SAST:ソースコード診断)」「Webアプリケーション・ファイアウォール(WAF)」)、また、データベース関連の対策は「データベース暗号化、トークン化、マスキング」「データベースの監査と保護(DAP)」)であり、その他の対策としては、「セキュリティ情報/イベント管理(SIEM)」「Webフラウド・ディテクション」があります。
前出の礒田は、次のように述べています。「外部公開Webサイトへの攻撃は、サイバー攻撃の中でも問い合わせが多いものの1つです。過去から現在に至るまで、企業の外部公開Webサイトには頻繁に攻撃が仕掛けられており、ひとたび被害が発生すれば、ビジネスや業務に深刻な影響が及びます。しかしながら、関連する対策やテクノロジが多岐にわたり、またどの程度の対策をどこまで実施すべきかについての具体的な基準が存在しないため、場当たり的な対策になりがちでもあります。まずはリスク・アプローチが基本になりますが、企業はこうした世間一般の対策動向を1つの判断材料にすることにより、一貫性ある対策の指針や計画を策定することが重要になります」
■調査手法
2015年3月にガートナーが国内の企業に実施した本調査は、ユーザー企業のIT部門のマネージャーを対象にしたものです。対象企業の業種は全般にわたり、有効回答企業数は515件でした。
ガートナーでは来る7月13〜15日、虎ノ門ヒルズフォーラム(東京都港区)において、『ガートナー セキュリティ&リスク・マネジメント サミット 2015』を開催します。本サミットでは、前出の礒田をはじめとするガートナーの国内外のアナリスト/コンサルタントが、デジタル・ビジネスに備える『人材、統制、サイバー』について、最新動向を踏まえたさまざまな知見をご提供します。
本サミットの詳細については、下記のWebサイトをご覧ください。
http://www.gartner.co.jp/event/srm/
<ガートナー社の概要>
1979年に創設されたガートナーは、米国コネチカット州スタンフォードに本拠を置く業界最大規模のITアドバイザリ企業です。世界に90の拠点を持ち、約1,500人のリサーチ・アナリストおよびコンサルタントを含む6,800人以上のアソシエイツで構成されています。
企業と政府系機関のCIOおよび上級IT幹部からハイテク、通信、プロフェッショナル・サービス、IT投資企業のビジネス・リーダーまで、ガートナーは世界約10,000社に及ぶ大手企業の価値あるパートナーとしての役割を果たしています。ガートナー・リサーチ、ガートナー・エグゼクティブ・プログラム、ガートナー・コンサルティング、また各種ガートナー・イベントなど幅広いリソースを通じ、ガートナーは、企業におけるITの役割という文脈の中で、ITの業務にかかわるリサーチと分析を行い、顧客がその内容を理解し解釈するためのサポートを提供します。
ガートナーは、お客様が日々直面する課題に対して正しい決断を下せるよう、テクノロジ面からの知見をご提供いたします。
詳細については下記Webサイトでご覧いただけます。
http://www.gartner.co.jp/http://www.gartner.com
