公開サイトでのセキュリティ対策、未実施は「恥ずかしい」

ガートナーの調査では約6割の企業が、主要7項目で外部攻撃への対策を実施していた。

[ITmedia]

　ガートナー ジャパンが7月8日に発表した調査結果によると、公開サイトで外部攻撃へのセキュリティ対策を講じている企業は約6割に上ることが分かった。同社は「未実施企業は最低限の対策もできていないと見なされる可能性がある」と指摘する。

　調査は国内企業を対象に3月に実施され、515社から回答があった。同社が「最低限の対策」と位置付ける主要7項目のうち、最も導入率が高い「アンチウイルスソフトウェアの導入」で69.9％、最も低い「サーバ、ネットワーク機器などへのタイムリーなパッチ適用」で57.9％という状況だった。

「外部公開Webサイト」への「外部からの攻撃」に対して実施している対策、出典：ガートナー ジャパン

　リサーチ部門主席アナリストの礒田優一氏は、「約6割の企業が7項目の基本的な対策を実施済みであるのは、当然のことともいえる。未実施企業は早急に対応を検討すべき」とアドバイスする。

　公開サイトのセキュリティリスクは、保有する情報の機密性やインタラクティブ性、サービスの可用性、法規制やコンプライアンスへの準拠などによって異なるものの、調査で挙げた7項目の対策は最低限の取り組みになるという。また、7項目に加えて4つの追加的な対策項目があるとしている。

公開サイトにおける追加的なセキュリティ対策

項目	対策
プラットフォーム関連	ネットワークやOS・ミドルウェアの脆弱性診断、DDoS（分散型サービス妨害）攻撃対策、Web改ざん検知
アプリケーション関連	動的アプリケーションセキュリティテスト（組み上がったアプリケーションに対するテスト)、静的アプリケーションセキュリティテスト（ソースコード診断）、Webアプリケーションファイアウォール（WAF)
データベース関連	データベース暗号化、トークン化、マスキング、データベースの監査と保護
その他	セキュリティ情報／イベント管理（SIEM）、Webフラウドディテクション

　これらの対策や技術は多岐にわたり、実施範囲などの具体的な基準も存在しないことから、礒田氏は場当たり的な対策になりがちだとも指摘する。対策の実施で「まずはリスクアプローチが基本になるが、企業はこうした世間一般の対策動向を1つの判断材料にすることで、一貫性ある対策の指針や計画を策定することが重要」と述べている。