脆弱性を狙ったサイバー攻撃は年々増加しており、それに伴って脆弱性診断やペネトレーションテストのニーズも高まっている。脆弱性診断とは、企業システムやネットワークに対してサイバー攻撃の可能性がある箇所を網羅的に検査するもので、ペネトレーションテストはネットワークに接続されているシステムに対して、想定される攻撃を実際に試し、成功するかどうかをテストするものだ。

独立系ITコンサルティング・調査会社のITRが発表した国内ネットワーク／プラットフォーム脆弱性管理市場調査によれば、2017年度に19億円だった市場は、2020年度には29億円に成長する予測だ（図表1）。

図表1　ネットワーク／プラットフォーム脆弱性管理市場規模推移および予測
（2017～2023年度・売上金額）

「セキュリティ関係のマーケットの中でも大きく成長している市場。プラットフォームの脆弱性管理市場だけ見ても2019年度は26億円の売上で、年間平均成長率が約15％と飽和とは程遠い状態にある。逆に言えば、現時点で脆弱性を管理できていない企業がそれだけ多いということだ」とITRコンサルティング・フェロー藤俊満氏は説明する。

進みだしたセキュリティ対策実際に、アプリケーションやWebサイト、インフラの構築・開発などにおいて、「本番リリースする前に、一度脆弱性を診断してセキュリティホールがないかを確認する企業は、大手では増えてきている」。しかし、中小企業やセキュリティへの意識が希薄な業界では、そうした対策を未だに実施していない企業も多い。つまり国内全体では、セキュリティ対策は「ようやく進み出している感じではあるが、まだ十分ではないのが実態」だと藤氏は解説する。

「他社と同程度のセキュリティ対策ができていればいいという意識の企業が多い。セキュリティインシデントが起こった際、他の企業よりも特別セキュリティ対策が遅れているとなれば世間からバッシングを受けるので、そうならないように最低限、他社並みの対策をしているということだ」

セキュリティ対策が進まない理由の1つには、コストの問題がある。

警視庁 生活安全局 情報技術犯罪対策課の「不正アクセス行為対策等の実態調査アクセス制御機能に関する技術の研究開発の状況等に関する調査調査報告書 令和元年度」によれば、セキュリティサービスを利用していない企業・団体が挙げたその理由の第1位は「予算がない」で50.7%だった（図表2）。

図表2　セキュリティサービスを利用していない理由

しかしコストを気にしてセキュリティをおざなりにするよりも、最初から対策をやっておいた方が、最終的にはコストも手間も省けると藤氏は指摘する。

「例えばWebサイトを作る時など、コストをかけたくないためにセキュリティをあまり考慮せずに作るケースが多いが、攻撃されると大きな被害を受けることになり、かつ結局それを防ぐためにネットワークなど別のところで色々な対策をしなければならなくなる。トータルで見ると、設計や構築時にきちんと診断し、対策をした方が安く済む」

また、ESG（環境・社会・ガバナンス）の観点からみても、セキュリィ対策を行う意義は大きいという。「ESGの評価項目にはセキュリティ対策の話も含まれるので、セキュリティをきちんとやってないとESGの評価も落ちる可能性がある。そういう意味でもセキュリティ対策はやっておく必要があるだろう」

先述の通り、セキュリティ対策を正しく実施できている企業は少ない。これから始めるにあたっては、まずは脆弱性診断やペネトレーションテストで事前に対策を打つべきだ。これらは、自動化したツールによるものもあれば、高度な専門性を有するセキュリティエンジニアが人手で対応するものもある。