多様・大量化するセキュリティ情報の収集は企業にとって負担

日本情報システム・ユーザー協会の調査によると、多様・大量化するセキュリティ情報の収集は企業にとって負担になっている。また、脆弱性対策のテスト時に副作用が発生したと回答した企業は7割に上った。

[ITmedia]

　日本情報システム・ユーザー協会（JUAS）は、会員企業のセキュリティ情報の入手および活用に関する現状や問題点について調査を実施、その結果を発表した。

　これによると、企業では、セキュリティに関する情報はソフトウェア製品のメーカーやセキュリティ製品・サービスのベンダー、システムンテグレータやシステム販社、運用・保守事業者、専門の機関など複数の情報源から入手している。だが、情報源の多様化、情報量の多さ、恒常的な情報収集の必要性といった問題から、情報のすべてをカバーしきれず、必要な情報の取捨選択が困難と感じており、大きな負担となっているようだ。

　基幹システムに影響する脆弱性対策を適用するか否かの判断基準は、ソフトウェア製品メーカーが提供する情報（一次情報）とセキュリティベンダーが提供する脅威レベルの評価情報（二次情報）を併用し、自社の情報システム担当者が判断する傾向が見られる。脆弱性対策を適用判断に要する時間は「数時間」「1日間」で半数を占めるが、「2〜3日」が25％、「1週間以上」も15％に上る。適用判断に時間を要する理由は、影響の分析に時間がかかるという回答が目立ち、対策の遅れにより、「大規模な被害が発生」15％、「軽微な被害が発生」40％と半数以上の企業が実際に被害に遭っている。

　また、脆弱性対策のテストにおいて、システムやアプリケーションの停止、誤作動といった「副作用」が発生した経験のある企業は7割に達し、その理由として「テストが不十分だった／適切でなかった」が3割を占めた。なお、脆弱性対策の副作用情報について、「情報提供側と受け側の双方にメリットがあれば情報共有は可能」とする回答が7割に上った。

　脆弱性対策の年間費用を換算すると、「1千万〜5千万円未満」が47％で最も多く、「1千万円未満」を加えると6割以上になる。また、費用の負担は、社内が45％、ソフトウェアメーカーやシステムベンダーが30％だが、「運用・保守事業者の委託費用に含まれている」とする回答も15％。運用・保守契約において脆弱性対応への明確な規定がないまま、業者が対応しているケースも2割になるという。

　ほかに、従業員のPCの脆弱性対策は「情報システム部門が準備し、エンドユーザーに実施を指示」が34％で最も多く、次いで、「委託先が統合管理ツールなどで複数のPCに一斉に実施」24％、「情報システム部門が統合管理ツールなどで複数のPCに一斉に実施」20％と続く。なお、従業員1000〜5000人の企業では、統合管理ツールなどで複数のPCに一斉に実施する傾向があり、従業員1万〜5万人の企業ではエンドユーザーに対策実施を指示する傾向が高い。

　なお、同調査は、2004年7月14〜26日、JUAS会員企業から抽出した85社の情報システム部門宛に電子メールで調査を実施。有効回答数は40社で、売上高1兆円以上の企業が64％。また従業員数1万人以上の企業が40％を占めている。