導入・選定ガイド

脆弱性診断は目的を明確に 自動化・専門家、それぞれのメリットを生かす

文◎原田果林(編集部) 2020.07.03

  • bookmark
  • Teitter
  • 印刷

増加するサイバー攻撃に、漸く自社のシステムやアプリのセキュリティ対策に本気で取り組もうとしている企業も多いだろう。まずは脆弱性診断などで自社の状況を把握することが必要だ。その要点を解説する。

脆弱性を狙ったサイバー攻撃は年々増加しており、それに伴って脆弱性診断やペネトレーションテストのニーズも高まっている。脆弱性診断とは、企業システムやネットワークに対してサイバー攻撃の可能性がある箇所を網羅的に検査するもので、ペネトレーションテストはネットワークに接続されているシステムに対して、想定される攻撃を実際に試し、成功するかどうかをテストするものだ。

独立系ITコンサルティング・調査会社のITRが発表した国内ネットワーク/プラットフォーム脆弱性管理市場調査によれば、2017年度に19億円だった市場は、2020年度には29億円に成長する予測だ(図表1)。

 

 

図表1 ネットワーク/プラットフォーム脆弱性管理市場規模推移および予測
(2017~2023年度・売上金額)

図表1 ネットワーク/プラットフォーム脆弱性管理市場規模推移および予測(2017~2023年度・売上金額)

 

 

「セキュリティ関係のマーケットの中でも大きく成長している市場。プラットフォームの脆弱性管理市場だけ見ても2019年度は26億円の売上で、年間平均成長率が約15%と飽和とは程遠い状態にある。逆に言えば、現時点で脆弱性を管理できていない企業がそれだけ多いということだ」とITRコンサルティング・フェロー藤俊満氏は説明する。

進みだしたセキュリティ対策実際に、アプリケーションやWebサイト、インフラの構築・開発などにおいて、「本番リリースする前に、一度脆弱性を診断してセキュリティホールがないかを確認する企業は、大手では増えてきている」。しかし、中小企業やセキュリティへの意識が希薄な業界では、そうした対策を未だに実施していない企業も多い。つまり国内全体では、セキュリティ対策は「ようやく進み出している感じではあるが、まだ十分ではないのが実態」だと藤氏は解説する。

「他社と同程度のセキュリティ対策ができていればいいという意識の企業が多い。セキュリティインシデントが起こった際、他の企業よりも特別セキュリティ対策が遅れているとなれば世間からバッシングを受けるので、そうならないように最低限、他社並みの対策をしているということだ」

セキュリティ対策が進まない理由の1つには、コストの問題がある。

警視庁 生活安全局 情報技術犯罪対策課の「不正アクセス行為対策等の実態調査アクセス制御機能に関する技術の研究開発の状況等に関する調査調査報告書 令和元年度」によれば、セキュリティサービスを利用していない企業・団体が挙げたその理由の第1位は「予算がない」で50.7%だった(図表2)。

 

 

図表2 セキュリティサービスを利用していない理由

図表2 セキュリティサービスを利用していない理由

 

 

しかしコストを気にしてセキュリティをおざなりにするよりも、最初から対策をやっておいた方が、最終的にはコストも手間も省けると藤氏は指摘する。

「例えばWebサイトを作る時など、コストをかけたくないためにセキュリティをあまり考慮せずに作るケースが多いが、攻撃されると大きな被害を受けることになり、かつ結局それを防ぐためにネットワークなど別のところで色々な対策をしなければならなくなる。トータルで見ると、設計や構築時にきちんと診断し、対策をした方が安く済む」

また、ESG(環境・社会・ガバナンス)の観点からみても、セキュリィ対策を行う意義は大きいという。「ESGの評価項目にはセキュリティ対策の話も含まれるので、セキュリティをきちんとやってないとESGの評価も落ちる可能性がある。そういう意味でもセキュリティ対策はやっておく必要があるだろう」

先述の通り、セキュリティ対策を正しく実施できている企業は少ない。これから始めるにあたっては、まずは脆弱性診断やペネトレーションテストで事前に対策を打つべきだ。これらは、自動化したツールによるものもあれば、高度な専門性を有するセキュリティエンジニアが人手で対応するものもある。
続きのページは「business network.jp」の会員の方のみに閲覧していただけます。ぜひ無料登録してご覧ください。また、すでに会員登録されている方はログインしてください。

スペシャルトピックスPR

empirix2009
ctc2008
cisco2008

>> 今月の月刊テレコミュニケーション

月刊テレコミュニケーション【特集】CPS/デジタルツインと
        エッジコンピューティング

●融合する現実世界と仮想空間 ●IOWNでヒトもデジタル化 ●CPSが製造業の切り札に ●エッジAIの実装入門 ●ドコモとNTT東に聞く“キャリアのエッジ”

[インタビュー]情報セキュリティ大学院大学 後藤厚宏学長「サイバー大災害はあり得る セキュリティの自給構造を」 [ソリューション特集]IDaaSのメリットと使い方 【IoT×SDGs】IoTを活用した環境移送技術で、サンゴを絶滅から守る 【技術&トレンド】AIがRANを進化させる日 ほか

>>詳しい目次を見る

スペシャルトピックス

NVIDIA EGXエッジAIの最適解はGPUにあった!

NVIDIA EGXでエッジコンピューティングの課題を解決し、「スマートエブリシング革命」の実現を!

IDaaSクラウド時代の新常識! 今こそIDaaSを導入すべき3つの理由

クラウドを活用するなら、ID/アクセス管理もクラウドに!

ローデ・シュワルツローカル5Gの測定ニーズの
全てに応えるローデ・シュワルツ

設備構築時の干渉調査・エリア確認、運用開始後の管理までカバー!

MOVEit「パスワード付き圧縮ファイル」
にはもう頼らない!

多様なニーズに対応したファイル転送の姿とは?

Gigamonコロナ禍による通信量の増大に対応

モニタリング、セキュリティ装置の負荷軽減や運用効率化を実現するGigamon社の先進的なL1スイッチ!

ネットスカウトシステムズNWを堅牢にしながらDDoS対策も
ニューノーマルのセキュリティ対策

テレワークのセキュリティと可用性を同時に高める方法があった!

マイクロフォーカス通信キャリアの運用監視をDX

HPEのソフトウェア部門を統合したマイクロフォーカスに、通信キャリアの課題と解決策を聞いた。

tcs-8500遠隔診療がWeb会議でいいはずない!
ノイズなし4K映像伝送を低価格で

医療現場で求められる高画質・低遅延を1台で実現する「TCS-8500」

エンピレックス通信事業者にワンランク上の可視性を

5G時代、キャリアは運用の一層の効率化を迫られるが、クラウドネイティブならトータルコストも削減できる!

KDDIどうする? テレワーク移行時の意外な盲点「固定電話」の取り次ぎ

「固定電話の番のためだけに出社」から脱却するには、何が必要だろうか。

Tocaro仕事を終わらせるビジネスチャット

CTCのビジネスチャット「Tocaro」は、豊富な機能により、プロセス管理や生産性向上も実現できる。

Cisco Meraki Z3全社員が在宅勤務可能な環境をCisco Meraki Z3でシンプルに即実現

<導入事例>検証から実導入までを驚くほどのスピードで!

キーサイト・テクノロジー光集積デバイスに必要なスピーディ
かつ高確度の測定を実現

1Tbpsの次世代光の確立へ、光集積デバイスに最適な光測定製品!

マイクロフォーカス岐路に立つ通信事業者の運用管理
属人・サイロ化から脱却するには?

通信事業者の運用管理に、マイクロフォーカスが"特効薬"を提供する!

シスコシステムズいま知るべき5Gのセキュリティ脅威
大変革時代を「シスコはこう守る」

5G網は様々なサイバーリスクを内包する。シスコはどう対抗するのか。

ホワイトペーパー

アクセスランキング

tc_banner191122

「通信」の力でビジネスを進化させるbusinessnetwork.jp

Copyright(c) 2020 RIC TELECOM Co.,Ltd. All Rights Reserved. 記事の無断転載を禁じます