外部公開ウェブサイトへの攻撃に対する日本企業の取り組み、基本的な対策の実施率は約6割

　ガートナージャパン株式会社は8日、日本企業のサイバー攻撃への取り組みに関する調査結果を発表した。外部公開ウェブサイトへの外部からの攻撃に対して、基本的な対策を実施済みであると回答している企業の割合は約6割となった。

　調査は、2015年3月に、日本企業のIT部門のマネージャーを対象として実施したもの。有効回答企業数は515社。

外部公開ウェブサイトへの外部からの攻撃に対して実施している対策（出典：ガートナー／調査：2015年3月）

　企業の外部公開ウェブサイトへの外部からの攻撃に対して、実施している対策を尋ねた質問では、「ポリシーの作成（開発方針や外部委託方針など）」は66.6％の企業が実施していると回答。「ガイドラインの作成、教育（開発者向けの教育、外部委託先の管理など）」も62.7％が実施していた。

　このほかの基本的な対策の実施率は、「ネットワークやサーバー周辺の基本設計」（59.2％）、「認証／アクセス権管理」（63.7％）、「ファイアウォール、IPS、ISD、UTM、次世代ファイアウォール」（60.2％）、「アンチウイルスソフトウェアの導入」（69.9％）、「サーバー、ネットワーク機器などへのタイムリーなパッチ適用」（57.9％）で、いずれの項目も実施率は約6割となっている。

　ガートナーのリサーチ部門主席アナリストの礒田優一氏は、「基本的な対策について約6割の企業が実施済みであるという結果は、当然のこととも言えます。一方、こうした対策をまだ実施していない企業は、最低限の対策もできていないと見なされる可能性があるため、早急に対応を検討すべきです。外部公開ウェブサイトは、保有する情報の機密性、インタラクティブ性、サービスの可用性、法規制やコンプライアンスへの準拠など、その性質によってリスクの大きさが異なります。基本的な対策としてどこまで実施すべきかの判断がつかない企業は、外部公開ウェブサイトの性質にかかわらず、上記7項目を最低限の対策であると位置付け、対策を実施する必要があります」とコメントしている。

　基本的な対策以外に追加的に取られている対策としては、「プラットフォーム関連の対策」「アプリケーション関連の対策」「データベース関連の対策」「その他の対策」の4つに分類でき、この分類の順に「実施済み」であると回答した企業の割合が高い結果となった。

　礒田氏は、「外部公開ウェブサイトへの攻撃は、サイバー攻撃の中でも問い合わせが多いものの1つです。過去から現在に至るまで、企業の外部公開ウェブサイトには頻繁に攻撃が仕掛けられており、ひとたび被害が発生すれば、ビジネスや業務に深刻な影響が及びます。しかしながら、関連する対策やテクノロジーが多岐にわたり、またどの程度の対策をどこまで実施すべきかについての具体的な基準が存在しないため、場当たり的な対策になりがちでもあります。まずはリスクアプローチが基本になりますが、企業はこうした世間一般の対策動向を1つの判断材料にすることにより、一貫性ある対策の指針や計画を策定することが重要になります」とコメントしている。