「費用対効果見えにくい」Webアプリケーション脆弱性診断、その有用性は？：Webアプリケーション脆弱性診断に関するアンケート結果リポート

TechTargetジャパンでは今回、Webアプリケーション脆弱性診断サービスに関する会員アンケートを実施。現時点でサービスを利用しているユーザーは少数だが、本当に需要がないといえるのだろうか。

[堀見誠司，TechTargetジャパン]

調査概要

目的：TechTargetジャパン会員のWebアプリケーション脆弱性診断サービスの利用状況調査
方法：Webによるアンケート
調査対象：TechTargetジャパン会員
調査期間：2009年3月22日～4月3日
有効回答数：321件

※ 回答の比率（％）は小数点第2位を四捨五入し、小数点第1位まで表示しているため、比率の合計が100.0％にならない場合があります。

　TechTargetジャパンでは2009年3月22日から4月3日にかけてTechTargetジャパン会員を対象に、企業のWebサイト（システム／アプリケーション）に脆弱性がないかどうかをセキュリティベンダーがツールや手動で診断するサービス「Webアプリケーション脆弱性診断サービス」に関する読者アンケート調査を実施した。その調査結果を見ると、実際に脆弱性診断サービスを利用したのは回答者の1割足らず。主に費用対効果の点に不満はあるが、脆弱性対策自体の必要性を認識するユーザーが多かった。以下、読者の回答内容の一部を紹介する。

診断サービスの利用／検討状況

Webアプリケーション脆弱性診断サービスの利用／検討状況

　2008年中に利用したユーザーは8.7％と1割に満たず、「利用していない」と回答したユーザーは73.8％となった。さらに、「利用を検討していない」としたユーザーは4割近くにも上った。こうした利用／検討状況から、現段階ではファイアウォールでの防御やウイルスチェックといったゲートウェイセキュリティ対策よりも優先度は低いことが読み取れる。

　なお、ユーザーが利用した診断サービスベンダーとしては、NRIセキュアテクノロジーズ、次いでNTTコミュニケーションズのサービスが多かった。

サービス利用の目的・きっかけ

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

関連ホワイトペーパー

脆弱性 | Webアプリケーション

Webサイト防御のためにできること
Webサイトへの攻撃が後を絶たない。改ざんや悪質サイトへと誘導するその手口はさらに巧妙化し、従来のIPSなどでは防ぎきれなくなった。サイトを脅威から守るために、今すぐできるセキュリティ対策を紹介する。
PCログ監視システムのユーザーは「費用対効果より機能重視」
TechTargetジャパンでは今回、PCログ監視システムに関する会員アンケートを実施した。管理・リポート機能を重視し、情報漏えい防止などセキュリティ対策としての導入効果を見込むユーザーが多いようだ。
自動SQLインジェクション攻撃への新たな防御戦術
ゼロデイは序の口? ユーザーもベンダーも知らないWebからの脅威
セキュアブレイン、月額3万円でサイト改ざんを定期チェックするSaaS型サービス
ラックが6万円台のWeb脆弱性診断サービス SQLインジェクション対策に特化
IPAがWebサイトのSQLインジェクションの脆弱性検出ツールを無償公開
TechTarget読者調査結果リポート
複合脅威時代のITセキュリティ
狙われるWebアプリ、対策の第一歩はWAFの導入から

TechTargetジャパントップセキュリティ