勝見勝見 勉勉

JNSAJNSA政策部会政策部会

マーケットリサーチマーケットリサーチWGWG

プロジェクトリーダプロジェクトリーダ

2005 2005 年年66月月1313日日

ＩＴセキュリティ対策施策の導入・実施状況とその満足度調査

Copyright (c) 2005 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会 Page 2

調査の概要

目的：セキュリティへの取組状況とその抱える問題点の抽出セキュリティの取り組み体制

セキュリティガバナンスの定着状況

セキュリティ対策ツール･サービスの導入状況

ユーザが抱える、ツール･サービスに関する問題点

調査概要：時期・方法： 2004年8～9月 郵送発送･郵送回収

対象：全国企業ユーザ（上場･非上場）3166社（含JNSA）回収数 416通 回収率13.1%インセンティブ： JNSAのセキュリティ啓発CD-ROM冊子

Copyright (c) 2005 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会 Page 3

回答企業プロファイル

• 業種別分布：ほぼ網羅

• 企業規模別：中小･中堅・大企業をカバー

• 従業員数別：やや中～大企業にシフト？

業種別分布

売上高区分別

1000

億

円未満

38%

5000

億

円未満

20%

50億円

未満

15%

5000

億

円以上

11%100億

円未満

12%

N/A

4%

N/A1%

100名未満9%

5000名以上15%

1000名未満15%

500名未満30%

5000名未満31%

従業員規模別

製造業

鉱業

建設業

35%

サービ

ス業

その他

20%

商業

流通業

関連

12%

情報・

ソフト

ウェア

関連

27%

金融

分野

5%

N/A

0%

Copyright (c) 2005 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会 Page 4

38.7% 31.0% 7.7% 7.7% 11.1%

3.8%

0% 20% 40% 60% 80% 100%

1%未満

3%未満

5%未満

10%未満

10%以上

N/A

売上高対比の年間IT予算規模

IT予算とセキュリティ予算

0% 20% 40% 60% 80% 100%

製造業･鉱業･建設業

0% 20% 40% 60% 80% 100%

商業･流通業関連

0% 20% 40% 60% 80% 100%

情報･ソフトウェア関連

0% 20% 40% 60% 80% 100%

サービス業･その他

0% 20% 40% 60% 80% 100%

金融分野

Copyright (c) 2005 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会 Page 5

IT予算はどれだけセキュリティに回されるか?

28.4% 16.1% 12.7%30.5%

5.5% 6.7%

0% 20% 40% 60% 80% 100%

1%未満

5%未満

10%未満

20%未満

20%以上

N/A

Copyright (c) 2005 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会 Page 6

情報セキュリティ対応体制

N/A, 0.5%

CSO(セキュリティ対策担当役員)がいる, 7.0%

CISO(情報セキュリティ対策担当役員)がいる, 17.8%

情報セキュリティはCIO(情報システム担当役員)の所管である, 25.2%情報セキュリティ

CEO(最高経営責任者または社長)が直接所管理している, 6.0%

情報セキュリティ担当役員は特に定めていない, 43.5%

兼任部署28%

専任部署26%

特に定めていない16%

要員を配置30%

CSO/CISO等の選任

セキュリティの専任要員･部署

Copyright (c) 2005 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会 Page 7

情報セキュリティガバナンス

情報セキュリティポリシー

策定済み５６％＋策定予定３７％＝９３％

外部サービスの利用（策定）：１５％

サービスの不満：教科書的。現実に即さず。

ＩＳＭＳ等：取得済み１８％＋取得予定３１％＝４９％

プライバシーポリシー

策定済み３５％＋策定予定４７％＝８２％

Ｐマーク： 取得済み１４％＋取得予定３１％＝４５％

Copyright (c) 2005 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会 Page 8

ＩＴセキュリティツールの導入状況

0% 20% 40% 60% 80% 100%

ファイアウォール

ＩＤＳ・ＩＰＳ

ウィルス対策

コンテンツセキュリティ

個人認証･ＩＤ管理

リモートアクセスの安全対策

脆弱性検査・ポリシー監査

Copyright (c) 2005 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会 Page 9

アプライアンスの普及度

ファイアウォール： ６０％

侵入検知･防御システム： ２２％

ウイルス対策： １６％

Copyright (c) 2005 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会 Page 10

プロフェッショナルサービスの利用

ファイアウォール： ２０％

侵入検知･防御システム： １５％

ウイルス対策： １８％

コンテンツセキュリティ対策： １１％

脆弱性検査・ポリシー監査： ２４％

Copyright (c) 2005 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会 Page 11

セキュリティ製品･サービスの満足度

ファイアウォール： １９％

侵入検知･防御システム： ２４％

ウイルス対策： ３０％

コンテンツセキュリティ： ２９％

個人認証・ＩＤ管理： ４６％

リモートアクセス： ３０％

脆弱性検査・ポリシー監査： ２４％

「不満はない」「機能」「性能（パフォーマンス・スループット）」「品質･信頼性」「費用対効果」

不満

Copyright (c) 2005 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会 Page 12

ファイアウォールの不満

• 本当に役に立ってる？• マニュアルが不十分・設定が難しい• ログの解析がたいへん• 老朽化で性能不足• パフォーマンス不足・一時的な低下• 保守料・ライセンス料・運用費用が高い• すりぬけがある• 要員の育成＝悩み？

Copyright (c) 2005 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会 Page 13

侵入検知・防御システムの不満

• 誤報・誤検知問題／チューニング問題• シグネチャのアップデート• ＤＯＳの兆候をキャッチして未然防止を

Copyright (c) 2005 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会 Page 14

ウイルス対策システムの問題点

• 定義ファイルの更新タイミング＝すりぬけがある 遅い 配布の手間

• アンチウィルスソフトを入れても万全じゃない• サーバとクライアント両方入れるのは無駄• ネットワークＯＳが古いからＡＶも古いのが・・・・

Copyright (c) 2005 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会 Page 15

個人認証とＩＤ管理システムの不満

• ＮＴドメインとＡＤが混在→ＰＷが設定できない

• ＰＷが不適切で変更頻度も低い• ユーザーのＰＷ管理がずさん• ＰＷの変更が困難。すぐわかるＰＷ• システムごとにＰＷ・認証方式が違う• ユーザに負担をかけたくないが・・・・• 運用管理の負荷が高い

Copyright (c) 2005 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会 Page 16

リモートアクセス安全対策の問題点

• 回線速度が遅い• ＲＡＳが古くて対応ＯＳに限りが・・・・• ＶＰＮの通信品質が安定しない• コストがかかる• ユーザに負担が・・・

Copyright (c) 2005 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会 Page 17

脆弱性検査・ポリシー監査ツールの問題点

• アプリケーションの検査がしたい• 検査結果に基づくアドバイスをもっと

Copyright (c) 2005 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会 Page 18

コンテンツセキュリティ対策ツールの問

題点

• フィルタリングの設定・アルゴリズムが不明、わかりにくい、動作が不適切

• 維持費が高い・費用が高い

Copyright (c) 2005 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会 Page 19

垣間見えたもの：：：

• 「ポリシー」は完璧？ 体制はばっちり？

• サービス嫌い？ 「難しい」のに任せない

• 製品の問題？運用の問題？• 陳腐化したシステムを抱え続ける危険• ユーザ教育を本気で考えなくては・・・• 考え方を整理しよう：ベンダーvs管理者vsユーザ &サービス

Copyright (c) 2005 NPO日本ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ協会 Page 20

フル･レポート

http://www.jnsa.orgsec@jnsa.org

勝見 勉グローバルセキュリティエキスパート株式会社

ソリューション事業部長tkatsumi@glbex.com katsuben@fc5.so-net.ne.jp

http://www.jnsa.org/active2004_15a.html