[編集長対談] あえて100点を目指さないプライド、NHN テコラスのセキュリティ脆弱性診断

NHN テコラスが調査を行った背景には、マーケティングとしての市場調査という意味もあるが、調査やその結果を通じて脆弱性診断の機能や役割を広く認知してもらい、国内企業のセキュリティレベルの底上げにつながればとの想いもあるという。

特集特集

2017.4.19 Wed 8:15 PR

左から NHN テコラス株式会社黄氏、同梁氏、ScanNetSecurity編集人上野、NHN テコラス薮本氏全 8 枚拡大写真

●脆弱性診断：日米韓の違い

上野（敬称略：以下同）：調査項目には、脆弱性診断にどれくらいの予算を使っているのか、どういった基準でそのサービスを選んだのか、サイバー攻撃をされたことがあるか、など興味深い質問が並んでいます。私自身は、まず、全体の約3割が20万円未満の診断サービスを使っているという点にびっくりしました。少なすぎるのではないか？と。みなさんはどんな結果の印象が強いですか？

薮本：1,000名以下の企業（SMB）では50％以上がその予算で実施しているようですね。ツールチェックが有効なプラットフォーム診断がメインなのかもしれません。人手が必要なアプリケーション診断の予算ではないですよね。

私が気になったのは、逆に100万円以上と、多く予算をかけている企業ほど増額したい意向を示している点です。20万円未満の約4割は減らしたいと思っています。

梁：おそらく、ツールやASPなどの安い診断では十分な検証ができず、脆弱性が見つからない、データが得られないことで、効果や意味を理解してもらえていないのかもしれません。このあたりは、サービス提供側もユーザーに気づきを与える意識が必要です。今回の調査では、サイバー攻撃の有無、インシデント（事故）の有無についても聞いていますが、全体の40％以上がサイバー攻撃を受けたことはない（気づいていないも含む）と答えています。これはちょっと信じられません。

黄：ログファイルを詳しく見たほうがいいですよね（笑）。脆弱性診断の目的について見ると、日本企業は脆弱性診断をリスクマネジメントのひとつとして実施しているようですが、米国企業との違いを感じます。米国ではWeb、アプリ、ネットワークを含む企業経営全体のガバナンスの中で、必要なリスクマネジメントのひとつとして、脆弱性診断を実施しています。なので、Webサイト、ネットワーク、PC、どれかひとつでも変更や更新があれば、脆弱性診断を実施します。

梁：韓国でも5,000人以上の個人情報を保持する企業は年1回の脆弱性診断を受けることが法律で規定されています。違反が見つかると罰金や業務停止といった処分もあります。