ガートナー ジャパンは、日本企業のサイバー攻撃への取り組みに関する調査結果を発表した。それによると、「外部公開Webサイト」への「外部からの攻撃」に対する各対策の実施状況を尋ねた結果、約6割の企業が対策を実施済みであることが判明した。
ユーザー企業のITリーダーを対象にしたこの調査では、サイバー攻撃のうち、よく話題に上る外部公開Webサイトへの攻撃への対策、「ポリシーの作成 (開発方針や外部委託方針など)」、「ガイドラインの作成、教育 (開発者向けの教育、外部委託先の管理など)」、「ネットワークやサーバ周辺の基本設計」、「認証/アクセス権管理』、「ファイアウォール、IPS、IDS、UTM、次世代ファイアウォール」、「アンチウィルス・ソフトウェアの導入」、「サーバ、ネットワーク機器などへのタイムリーなパッチ適用」の7項目の基本的な対策について質問した。
その結果、57.9%以上の企業が「実施済み」と回答した。今回の結果について、ガートナーのリサーチ部門主席アナリストの礒田優一氏は、「約6割の企業が実施済みであるという結果は、当然のことともいる。対策をまだ実施していない企業は、最低限の対策もできていないと見なされる可能性があるため、早急に対応を検討すべき。基本的な対策としてどこまで実施すべきかの判断がつかない企業は、外部公開Webサイトの性質にかかわらず、上記7項目を最低限の対策であると位置付け、対策を実施する必要がある」とコメントしている。
また、基本的な対策以外に、追加的に取られている対策に注目すると、それらは「プラットフォーム関連の対策」「アプリケーション関連の対策」「データベース関連の対策」「その他の対策」の4つに分類することができ、この分類の順に「実施済み」であると回答した企業の割合が高いという結果となった。
それぞれに分類された対策は、プラットフォーム関連の対策が、「プラットフォーム (ネットワーク、OSやミドルウェア) の脆弱性診断」「分散型サービス拒否 (DDoS) 攻撃対策」「Web改ざん検知」で、アプリケーション関連の対策は、「動的アプリケーション・セキュリティ・テスト (DAST:組み上がったアプリケーションに対するテスト)」「静的アプリケーション・セキュリティ・テスト (SAST:ソースコード診断)」「Webアプリケーション・ファイアウォール (WAF)」)、また、データベース関連の対策は「データベース暗号化、トークン化、マスキング」「データベースの監査と保護 (DAP)」) であり、その他の対策としては、「セキュリティ情報/イベント管理 (SIEM)」「Webフラウド・ディテクション」がある。
これについて、礒田氏は。「外部公開Webサイトへの攻撃は、サイバー攻撃の中でも問い合わせが多いものの1つ。企業の外部公開Webサイトには頻繁に攻撃が仕掛けられており、ひとたび被害が発生すれば、ビジネスや業務に深刻な影響が及ぶ。しかし、関連する対策やテクノロジが多岐にわたり、またどの程度の対策をどこまで実施すべきかについての具体的な基準が存在しない。まずはリスク・アプローチが基本になるが、企業はこうした世間一般の対策動向を1つの判断材料にすることにより、一貫性ある対策の指針や計画を策定することが重要になる」とコメントしている。(編集担当:慶尾六郎)