Facebook x

ジャンル

開発現場におけるセキュリティ対策状況アンケート結果まとめ|セキュリティ対策が十分に検討できていると回答したのは全体の19%
アンケート 2024.10.07
x hatenabookmark
1

開発現場におけるセキュリティ対策状況アンケート結果まとめ|セキュリティ対策が十分に検討できていると回答したのは全体の19%

執筆: Qbook編集部

ライター

企業の情報システムを狙ったサイバー攻撃は年を追うごとに高度化・複雑化しています。

ランサムウェア攻撃やサプライチェーンを狙った攻撃などによる被害は大きな脅威となっており、さらにフィッシング詐欺では手法が巧妙になり、過去最大の不正送金被害も発生している状況です。

日頃、システム開発に携わっている皆様におかれましても、セキュリティへの取り組みを課題に感じている方も多いのではないでしょうか。

そこでQbookでは、システム開発におけるセキュリティ対策の状況についてアンケート調査を実施いたしました。

今回はアンケート結果をまとめてご紹介します。

開発時のセキュリティ対策状況や脆弱性診断の実施状況についてまとめましたのでぜひ最後までご覧ください。

なお本結果をまとめた資料については下記からダウンロード可能です。

調査方法    :「Qbook」でのWEBアンケート

調査対象者   :システム開発に携わる方

調査機関    :バルテス・ホールディングス株式会社

有効回答数   :115名

調査日     :2024年8月21日~2024年9月6日

ダウンロード  :https://www.qbook.jp/download/1943

調査結果サマリー
  • 携わっている開発でのセキュリティ対策について、「十分検討できている」と回答したのは全体の19%。
  • 開発における納品物のセキュリティ要件があると回答したのが全体の70%。「特定の基準を満たしたものを納品する」という回答が最多。
  • 脆弱性診断の実施率は67%。その内73%の人がセキュリティ対策としての効果を感じている。
  • クライアントからのセキュリティ要件について「増えた」という回答が42%。「変わらない」が56%。「減った」が2%という結果に。

1.セキュリティ対策が十分に検討できていると回答したのは全体の19%

セキュリティへの関心が高まる昨今、開発現場でのセキュリティ対策はどのように進められているのでしょうか。

スライド3.JPG

セキュリティへの対策が十分検討出来ているかという質問に対して、「そう思う」と回答した方は全体の19%でした。

「ややそう思う」と回答した方が42%、「ややそう思わない」と回答した方が35%、「そう思わないが」4%という結果に。

「ややそう思う」の回答率は4割ほどあったものの、回答者のコメントを確認すると「一部検討できていない部分もある」「経験が乏しく十分検討できているか不安」などの回答理由もあったため、万全なセキュリティ対策ができていると感じている方は決して多くはないようです。

上記を回答した理由としては以下の通りです。

「そう思う」「ややそう思う」...

  • セキュアなネットワークを構築しており、クライアント側にも対策を取っている。
  • 情報セキュリティ部門がありオンラインでの外部攻撃、漏洩(個人管理PC含む)は一定の基準(世間で言われる程度)で対応できている。
  • XSSやSQLインジェクションなどプログラミングにおける代表的な脆弱性対策は意識して取り組めている。一方で、クラウド技術も利用し始めたが、環境周りでのセキュリティ対策についてはまだ経験が乏しいため十分に検討できているか不安。

「そう思わない」「ややそう思わない」...

  • 内製開発が主であり、またtoCの開発であるため外部(顧客)の監査を受ける機会が少なく、セキュリティの意識はあるものの実態はあまり追いついていない。
  • まずはシステムが正常に動作することが最優先で、セキュリティ対策は後手後手になることが多い。
  • 開発しているのが単純な組込み開発の製品で、個人情報や顧客の重要情報を扱わないため、そもそもセキュリティの観点があまりない。また開発全体の体制に関していうと、入室管理などがされておらず、営業時間中は社内が顔パス状態のためソーシャルエンジニアリングの観点で不足がある。

2.7割が開発の納品物にセキュリティ要件を設けている

「特定の基準を満たしたものを納品する」が最多

スライド4.JPG

開発した納品物のセキュリティ要件について、全体の70%がルールを設けていることが分かりました。

具体的な要件として最も多かったのが「特定の基準を満たしたものを納品する」で52件、次に「納品前に社内の委員会を通す」が14件、「第三者の評価を必須としている」が10件、「その他」が4件でした。

その他の回答には、「CRA認証」や「ウイルスチェックの実施」などが挙げられました。

一方で、「特にない」の回答が35件という結果となりました。

3.脆弱性診断を実施したことがあるのは67%

脆弱性診断の実施率は67%(外注は38%、社内実施が26%)

スライド5.JPG

情報システムを構成するOSやミドルウェア、Webアプリケーションなどに「脆弱性」がないかを診断する「脆弱性診断」。

開発現場での実施状況について調査しました。

実施率については実施したことがあると回答したのが67%。内「セキュリティ企業に外注した」が38件(33%)、「社内で実施した」が30件(26%)、「無料の簡易診断を受けた」が9件(8%)という結果でした。

一方で、「実施したことがない」と回答した方は全体の33%となりました。理由については、社内向けシステムのため実施していない、そもそもリリースフローにない、などの回答がありました。

効果を感じているのは73%

スライド6.JPG

さらに脆弱性診断を実施した方の中で、「十分効果を感じた」と回答した方は21%、「やや効果を感じた」が52%という結果となりました。

理由としては、以下の通りです。

  • セキュリティ事故が減った。
  • 脆弱性診断で発覚した脆弱性があった。
  • セキュリティ専門会社に診断を依頼する事で、専門的知見から脆弱性を多数指摘して貰えたと感じた。
  • 対象製品に対していくつかの脆弱性が検出され、事前に対処ができた。

一方で、「あまり効果を感じなかった」が23%、「効果を感じなかった」が4%と、脆弱性診断を実施したものの、効果を実感できなかったと回答された方が約3割いました。

理由としては以下の通りです。

  • 脆弱性はあると診断されても、実際問題が起きてなかったので、重みがない。
  • ある程度の結果は得られるものの十分かどうか判断するのが困難であったため。
  • 実施以前と変わりなかった

>脆弱性診断について詳しくはこちらの記事で解説しています。

脆弱性診断以外に必要だと思うものは?

脆弱性診断以外に必要だと思うセキュリティ対策についての項目では、「コードレビュー、テスト」という回答や「開発者のスキルアップや社内セキュリティ教育・意識改善」、「社内でのセキュリティルール・標準の設定」などの回答が集まりました。

具体的な回答は以下の通りです。(一部抜粋)

コードレビュー・テスト

  • 第三者機関によるテスト
  • 侵入テスト
  • ソースコードインスペクション
  • ソースコードの脆弱性診断
  • 準正常系・異常系のテストで、XSSやSQLインジェクションの観点を実施すること
  • 完全にオフラインにするか、多要素認証

セキュリティ教育・意識向上

  • 個々の開発者のセキュリティ意識の向上させることで開発工程からセキュリティを意識した作りこみを行う。(IPAの情報セキュリティマネジメント試験、または情報処理安全確保支援士試験などの取得を促す)
  • 定期的なセキュリティ教育、開発におけるセキュリティチェック(チェックリスト等)など

セキュリティルールを設定

  • 結局のところ、よくある出口入口対策が一番重要だと思う。あとは確固たるセキュリティポリシーが制定されており、それに則った運用がなされるよう内部統制する。また定期的に運用チェックして、PDCAを回す事。
  • レビュー標準やテスト標準の策定
  • 各工程での社内標準を設ける

4.セキュリティに関する要望の変化は?

昨今、セキュリティ事件・事故が話題になる中で、クライアントのセキュリティに対する意識も変わってきているのでしょうか。

セキュリティに関するクライアントからの要望の変化についてお伺いしました。

要望・要件をもらうことが「増えた」と答えた人が48%

スライド7.JPG

要望が増えたと回答した方は48%、減ったと回答した方は2%、変わらないと回答した方は56%でした。

割合としては「変わらない」が最も多かったものの、増えたという回答も半数近くあったため、セキュリティに関心が高まっている企業も増えているようです。

クライアントからもらったセキュリティ要件(一部抜粋)

具体的な要件については以下のような回答がありました。

  • 顧客工場のセキュリティ規約により、保守用ノートPCの持ち込みへの制約が厳しくなった。
  • 個人情報の消去依頼や個人情報がどのように管理されているかの問い合わせを受けることが増えた
  • 以前は特に要望されることはなく、こちらから対応する内容を提示していましたが、最近は具体的な攻撃手法をあげ「〇〇を防ぐこと」などといった依頼をいただくことがありました。
  • 定期的なリモート・ワークプレース・セキュリティチェックの実施
  • 利用するSaaS企業の所在地、データの保存場所等についての要望等(海外でのデータ漏洩事例や米中対立を受けて)
  • 車載サイバーセキュリティの要件として、製品に盛り込むセキュリティ、顧客とのやり取りをするためのセキュリティ、セキュリティに沿った開発プロセスの開示
  • サイバーセキュリティガイドラインに準拠するように指導があった。
  • 自社開発している製品に対し、Gmailポリシー変更に伴うDKIM/DMARC/SPFの規格をカバーできているのか(=設定・使用可能か)という問い合わせが官公庁を中心に増えている。

まとめ

今回の調査では、クライアントからのセキュリティの要望が増加傾向にあること、現状の開発現場に対しての満足度が分かりました。

セキュリティ対策が出来ていると答えた方が約6割、脆弱性診断を実施したことがある方が約7割と、多くの企業でセキュリティの対策が取られている一方で、

現状のセキュリティ対策に不安を感じている方や、脆弱性診断を実施したことがない、ほかに何をしたらよいか検討できていないと回答された方もいました。

2024年も多くのセキュリティ事故・事件が話題となっており、クライアントやユーザーからのセキュリティへの関心も今後さらに高まっていくことが予想されます。

自社のシステムからのセキュリティ事故を防ぐためにも、社内ルールの策定や定期的な脆弱性診断の実施、社員教育などの対策を検討してみてはいかがでしょうか。

今回のアンケート調査をセキュリティ体制の改善にお役立てください。

回答者属性

今回のアンケート結果について、回答者の属性は以下のとおりです。

スライド2.JPG

なお本結果をまとめた資料については下記からダウンロード可能です。

調査方法    :「Qbook」でのWEBアンケート

調査対象者   :システム開発に携わる方

調査機関    :バルテス・ホールディングス株式会社

有効回答数   :115名

調査日     :2024年8月21日~2024年9月6日

ダウンロード  :https://www.qbook.jp/download/1943

Qbookを運営するバルテスでは、Web・モバイル・IoTデバイスなどの幅広いIT資産の脆弱性診断サービスを提供しています。ツールによる効率性の高い診断に、プロによる確実性の高い手動診断を組み合わせたサービスです。

「脆弱性診断を実施したことがない」、「過去に診断したが効果を感じられなかった」という方はぜひご利用ください。

アンケート
x hatenabookmark
1

執筆: Qbook編集部

ライター

バルテス株式会社 Qbook編集部。 ソフトウェアテストや品質向上に関する記事を執筆しています。