バルテス、開発現場におけるセキュリティ対策状況 アンケート結果を公開
[24/10/08]
提供元:PRTIMES
提供元:PRTIMES
セキュリティ対策が「十分に検討できている」と回答したのは全体の19%
[画像1: https://prcdn.freetls.fastly.net/release_image/30691/330/30691-330-3c14aa7dc31c56402e437449f5d90064-720x410.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
ソフトウェアのテスト・品質向上トータルサポート企業のバルテス・ホールディングス株式会社(本社:大阪市西区、東京都千代田区、代表取締役会長 兼 社長:田中 真史)は、同社が運営するメディア「Qbook」にて、IT関連のお仕事をされている方を対象に実施した「開発現場におけるセキュリティ対策状況についてのアンケート」の結果を公開しました。
企業の情報システムを狙ったサイバー攻撃は年を追うごとに高度化・複雑化しています。ランサムウェア攻撃やサプライチェーンを狙った攻撃などによる被害は大きな脅威となっており、さらにフィッシング詐欺では手法が巧妙になり、過去最大の不正送金被害も発生している状況です。
そこでQbookでは、システム開発におけるセキュリティ対策の状況についてアンケート調査を実施いたしました。今回はアンケート結果をまとめてご紹介します。
調査結果サマリー
- 携わっている開発でのセキュリティ対策について、「十分検討できている」と回答したのは全体の19%。
- 開発における納品物のセキュリティ要件があると回答したのが全体の70%。「特定の基準を満たしたものを納品する」という回答が最多。
- 脆弱性診断の実施率は67%。その内73%の人がセキュリティ対策としての効果を感じている。
- クライアントからのセキュリティ要件について「増えた」という回答が42%。「変わらない」が56%。「減った」が2%という結果に。
調査結果トピック
1.セキュリティ対策が十分に検討できていると回答したのは全体の19%
セキュリティへの対策が十分検討出来ているかという質問に対して、「そう思う」と回答した方は全体の19%でした。「ややそう思う」と回答した方が42%、「ややそう思わない」と回答した方が35%、「そう思わないが」4%という結果になりました。
[画像2: https://prcdn.freetls.fastly.net/release_image/30691/330/30691-330-6494dba929dfbe9cce77267a55ecdba7-1040x720.jpg?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
▼コメント
「そう思う」「ややそう思う」...
- セキュアなネットワークを構築しており、クライアント側にも対策を取っている。
- 情報セキュリティ部門がありオンラインでの外部攻撃、漏洩(個人管理PC含む)は一定の基準(世間で言われる程度)で対応できている。
- XSSやSQLインジェクションなどプログラミングにおける代表的な脆弱性対策は意識して取り組めている。一方で、クラウド技術も利用し始めたが、環境周りでのセキュリティ対策についてはまだ経験が乏しいため十分に検討できているか不安。
「そう思わない」「ややそう思わない」...
- 内製開発が主であり、またtoCの開発であるため外部(顧客)の監査を受ける機会が少なく、セキュリティの意識はあるものの実態はあまり追いついていない。
- まずはシステムが正常に動作することが最優先で、セキュリティ対策は後手後手になることが多い。
- 開発しているのが単純な組込み開発の製品で、個人情報や顧客の重要情報を扱わないため、そもそもセキュリティの観点があまりない。また開発全体の体制に関していうと、入室管理などがされておらず、営業時間中は社内が顔パス状態のためソーシャルエンジニアリングの観点で不足がある。
2.7割が開発の納品物に何らかのセキュリティ要件を設けている
開発した納品物のセキュリティ要件について、全体の70%がルールを設けていることが分かりました。具体的な要件として最も多かったのが「特定の基準を満たしたものを納品する」で52件、次に「納品前に社内の委員会を通す」が14件、「第三者の評価を必須としている」が10件、「その他」が4件でした。その他の回答には、「CRA認証」や「ウイルスチェックの実施」などが挙げられました。
[画像3: https://prcdn.freetls.fastly.net/release_image/30691/330/30691-330-9c9ad8bfb5a4eb6ab8d19ed6fe5257c3-1040x720.jpg?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
3.脆弱性診断を実施したことがあるのは67%
情報システムを構成するOSやミドルウェア、Webアプリケーションなどに「脆弱性」がないかを診断する「脆弱性診断」。開発現場での実施状況について調査しました。
実施率については実施したことがあると回答したのが67%。内「セキュリティ企業に外注した」が38件(33%)、「社内で実施した」が30件(26%)、「無料の簡易診断を受けた」が9件(8%)という結果でした。
一方で、「実施したことがない」と回答した方は全体の33%となりました。理由については、社内向けシステムのため実施していない、そもそもリリースフローにない、などの回答がありました。
[画像4: https://prcdn.freetls.fastly.net/release_image/30691/330/30691-330-5447293ace34a6a662fe35f0d843cf79-1040x720.jpg?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
4.セキュリティに関する要望の変化は?要望・要件をもらうことが「増えた」と答えた人が48%
昨今、セキュリティ事件・事故が話題になる中で、クライアントのセキュリティに対する意識も変わってきているのでしょうか。セキュリティに関するクライアントからの要望の変化についてお伺いしました。
[画像5: https://prcdn.freetls.fastly.net/release_image/30691/330/30691-330-ef928c66189970123de7c58da7164ee2-1040x720.jpg?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
▼クライアントからもらったセキュリティ要件(一部抜粋)
具体的な要件については以下のような回答がありました。
- 顧客工場のセキュリティ規約により、保守用ノートPCの持ち込みへの制約が厳しくなった。
- 個人情報の消去依頼や個人情報がどのように管理されているかの問い合わせを受けることが増えた
- 以前は特に要望されることはなく、こちらから対応する内容を提示していましたが、最近は具体的な攻撃手法をあげ「〇〇を防ぐこと」などといった依頼をいただくことがありました。
- 定期的なリモート・ワークプレース・セキュリティチェックの実施
- 利用するSaaS企業の所在地、データの保存場所等についての要望等(海外でのデータ漏洩事例や米中対立を受けて)
- 車載サイバーセキュリティの要件として、製品に盛り込むセキュリティ、顧客とのやり取りをするためのセキュリティ、セキュリティに沿った開発プロセスの開示
- サイバーセキュリティガイドラインに準拠するように指導があった。
- 自社開発している製品に対し、Gmailポリシー変更に伴うDKIM/DMARC/SPFの規格をカバーできているのか(=設定・使用可能か)という問い合わせが官公庁を中心に増えている。
まとめ
今回の調査では、クライアントからのセキュリティの要望が増加傾向にあること、現状の開発現場に対しての満足度が分かりました。セキュリティ対策が出来ていると答えた方が約6割、脆弱性診断を実施したことがある方が約7割と、多くの企業でセキュリティの対策が取られている一方で、現状のセキュリティ対策に不安を感じている方や、脆弱性診断を実施したことがない、ほかに何をしたらよいか検討できていないと回答された方もいました。
2024年も多くのセキュリティ事故・事件が話題となっており、クライアントやユーザーからのセキュリティへの関心も今後さらに高まっていくことが予想されます。
自社のシステムからのセキュリティ事故を防ぐためにも、社内ルールの策定や定期的な脆弱性診断の実施、社員教育などの対策を検討してみてはいかがでしょうか。
▼開発現場におけるセキュリティ対策状況アンケート結果まとめ|Qbook
https://www.qbook.jp/column/1932.html
調査概要
調査方法 :「Qbook」でのWEBアンケート
調査対象者 :システム開発に携わる方
調査機関 :バルテス・ホールディングス株式会社
有効回答数 :115名
調査日 :2024年8月21日〜2024年9月6日
ダウンロード :https://www.qbook.jp/download/1943
バルテスグループについて
バルテスグループは、ソフトウェアテストをメインとした品質向上支援サービスを提供している本業界のリーディングカンパニーです。上流工程における品質コンサルティング、及び体系的なテストエンジニアの教育プログラムを強みとしております。バルテス株式会社は、ソフトウェアテストに関する国際的な資格認定機関である「ISTQB」の最高位ランクである「Global Partner」に日本で初めて認定された企業です。
【バルテス・ホールディングス株式会社】
企業名:バルテス・ホールディングス株式会社
証券コード:4442(東京証券取引所グロース市場)
代表者:代表取締役会長 兼 社長 田中 真史
本社所在地:(大阪本社)大阪市西区阿波座1-3-15 関電不動産西本町ビル8F
(東京本社)東京都千代田区麹町1-6-4 住友不動産半蔵門駅前ビル11F
設立:2004年4月19日(2023年10月より持株会社体制に移行)
資本金:9,000万円
従業員数:974名(2024年6月末 グループ8社計)
ウェブサイト:https://www.valtes-hd.co.jp/
【バルテス株式会社】
企業名:バルテス株式会社
代表者:代表取締役会長 兼 社長 田中 真史
本社所在地:(大阪本社)大阪市西区阿波座1-3-15 関電不動産西本町ビル8F
(東京本社)東京都千代田区麹町1-6-4 住友不動産半蔵門駅前ビル11F
設立:2023年4月6日(2023年10月にバルテス分割準備株式会社から商号変更)
ホームページ:https://www.valtes.co.jp/
[画像1: https://prcdn.freetls.fastly.net/release_image/30691/330/30691-330-3c14aa7dc31c56402e437449f5d90064-720x410.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
ソフトウェアのテスト・品質向上トータルサポート企業のバルテス・ホールディングス株式会社(本社:大阪市西区、東京都千代田区、代表取締役会長 兼 社長:田中 真史)は、同社が運営するメディア「Qbook」にて、IT関連のお仕事をされている方を対象に実施した「開発現場におけるセキュリティ対策状況についてのアンケート」の結果を公開しました。
企業の情報システムを狙ったサイバー攻撃は年を追うごとに高度化・複雑化しています。ランサムウェア攻撃やサプライチェーンを狙った攻撃などによる被害は大きな脅威となっており、さらにフィッシング詐欺では手法が巧妙になり、過去最大の不正送金被害も発生している状況です。
そこでQbookでは、システム開発におけるセキュリティ対策の状況についてアンケート調査を実施いたしました。今回はアンケート結果をまとめてご紹介します。
調査結果サマリー
- 携わっている開発でのセキュリティ対策について、「十分検討できている」と回答したのは全体の19%。
- 開発における納品物のセキュリティ要件があると回答したのが全体の70%。「特定の基準を満たしたものを納品する」という回答が最多。
- 脆弱性診断の実施率は67%。その内73%の人がセキュリティ対策としての効果を感じている。
- クライアントからのセキュリティ要件について「増えた」という回答が42%。「変わらない」が56%。「減った」が2%という結果に。
調査結果トピック
1.セキュリティ対策が十分に検討できていると回答したのは全体の19%
セキュリティへの対策が十分検討出来ているかという質問に対して、「そう思う」と回答した方は全体の19%でした。「ややそう思う」と回答した方が42%、「ややそう思わない」と回答した方が35%、「そう思わないが」4%という結果になりました。
[画像2: https://prcdn.freetls.fastly.net/release_image/30691/330/30691-330-6494dba929dfbe9cce77267a55ecdba7-1040x720.jpg?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
▼コメント
「そう思う」「ややそう思う」...
- セキュアなネットワークを構築しており、クライアント側にも対策を取っている。
- 情報セキュリティ部門がありオンラインでの外部攻撃、漏洩(個人管理PC含む)は一定の基準(世間で言われる程度)で対応できている。
- XSSやSQLインジェクションなどプログラミングにおける代表的な脆弱性対策は意識して取り組めている。一方で、クラウド技術も利用し始めたが、環境周りでのセキュリティ対策についてはまだ経験が乏しいため十分に検討できているか不安。
「そう思わない」「ややそう思わない」...
- 内製開発が主であり、またtoCの開発であるため外部(顧客)の監査を受ける機会が少なく、セキュリティの意識はあるものの実態はあまり追いついていない。
- まずはシステムが正常に動作することが最優先で、セキュリティ対策は後手後手になることが多い。
- 開発しているのが単純な組込み開発の製品で、個人情報や顧客の重要情報を扱わないため、そもそもセキュリティの観点があまりない。また開発全体の体制に関していうと、入室管理などがされておらず、営業時間中は社内が顔パス状態のためソーシャルエンジニアリングの観点で不足がある。
2.7割が開発の納品物に何らかのセキュリティ要件を設けている
開発した納品物のセキュリティ要件について、全体の70%がルールを設けていることが分かりました。具体的な要件として最も多かったのが「特定の基準を満たしたものを納品する」で52件、次に「納品前に社内の委員会を通す」が14件、「第三者の評価を必須としている」が10件、「その他」が4件でした。その他の回答には、「CRA認証」や「ウイルスチェックの実施」などが挙げられました。
[画像3: https://prcdn.freetls.fastly.net/release_image/30691/330/30691-330-9c9ad8bfb5a4eb6ab8d19ed6fe5257c3-1040x720.jpg?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
3.脆弱性診断を実施したことがあるのは67%
情報システムを構成するOSやミドルウェア、Webアプリケーションなどに「脆弱性」がないかを診断する「脆弱性診断」。開発現場での実施状況について調査しました。
実施率については実施したことがあると回答したのが67%。内「セキュリティ企業に外注した」が38件(33%)、「社内で実施した」が30件(26%)、「無料の簡易診断を受けた」が9件(8%)という結果でした。
一方で、「実施したことがない」と回答した方は全体の33%となりました。理由については、社内向けシステムのため実施していない、そもそもリリースフローにない、などの回答がありました。
[画像4: https://prcdn.freetls.fastly.net/release_image/30691/330/30691-330-5447293ace34a6a662fe35f0d843cf79-1040x720.jpg?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
4.セキュリティに関する要望の変化は?要望・要件をもらうことが「増えた」と答えた人が48%
昨今、セキュリティ事件・事故が話題になる中で、クライアントのセキュリティに対する意識も変わってきているのでしょうか。セキュリティに関するクライアントからの要望の変化についてお伺いしました。
[画像5: https://prcdn.freetls.fastly.net/release_image/30691/330/30691-330-ef928c66189970123de7c58da7164ee2-1040x720.jpg?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
▼クライアントからもらったセキュリティ要件(一部抜粋)
具体的な要件については以下のような回答がありました。
- 顧客工場のセキュリティ規約により、保守用ノートPCの持ち込みへの制約が厳しくなった。
- 個人情報の消去依頼や個人情報がどのように管理されているかの問い合わせを受けることが増えた
- 以前は特に要望されることはなく、こちらから対応する内容を提示していましたが、最近は具体的な攻撃手法をあげ「〇〇を防ぐこと」などといった依頼をいただくことがありました。
- 定期的なリモート・ワークプレース・セキュリティチェックの実施
- 利用するSaaS企業の所在地、データの保存場所等についての要望等(海外でのデータ漏洩事例や米中対立を受けて)
- 車載サイバーセキュリティの要件として、製品に盛り込むセキュリティ、顧客とのやり取りをするためのセキュリティ、セキュリティに沿った開発プロセスの開示
- サイバーセキュリティガイドラインに準拠するように指導があった。
- 自社開発している製品に対し、Gmailポリシー変更に伴うDKIM/DMARC/SPFの規格をカバーできているのか(=設定・使用可能か)という問い合わせが官公庁を中心に増えている。
まとめ
今回の調査では、クライアントからのセキュリティの要望が増加傾向にあること、現状の開発現場に対しての満足度が分かりました。セキュリティ対策が出来ていると答えた方が約6割、脆弱性診断を実施したことがある方が約7割と、多くの企業でセキュリティの対策が取られている一方で、現状のセキュリティ対策に不安を感じている方や、脆弱性診断を実施したことがない、ほかに何をしたらよいか検討できていないと回答された方もいました。
2024年も多くのセキュリティ事故・事件が話題となっており、クライアントやユーザーからのセキュリティへの関心も今後さらに高まっていくことが予想されます。
自社のシステムからのセキュリティ事故を防ぐためにも、社内ルールの策定や定期的な脆弱性診断の実施、社員教育などの対策を検討してみてはいかがでしょうか。
▼開発現場におけるセキュリティ対策状況アンケート結果まとめ|Qbook
https://www.qbook.jp/column/1932.html
調査概要
調査方法 :「Qbook」でのWEBアンケート
調査対象者 :システム開発に携わる方
調査機関 :バルテス・ホールディングス株式会社
有効回答数 :115名
調査日 :2024年8月21日〜2024年9月6日
ダウンロード :https://www.qbook.jp/download/1943
バルテスグループについて
バルテスグループは、ソフトウェアテストをメインとした品質向上支援サービスを提供している本業界のリーディングカンパニーです。上流工程における品質コンサルティング、及び体系的なテストエンジニアの教育プログラムを強みとしております。バルテス株式会社は、ソフトウェアテストに関する国際的な資格認定機関である「ISTQB」の最高位ランクである「Global Partner」に日本で初めて認定された企業です。
【バルテス・ホールディングス株式会社】
企業名:バルテス・ホールディングス株式会社
証券コード:4442(東京証券取引所グロース市場)
代表者:代表取締役会長 兼 社長 田中 真史
本社所在地:(大阪本社)大阪市西区阿波座1-3-15 関電不動産西本町ビル8F
(東京本社)東京都千代田区麹町1-6-4 住友不動産半蔵門駅前ビル11F
設立:2004年4月19日(2023年10月より持株会社体制に移行)
資本金:9,000万円
従業員数:974名(2024年6月末 グループ8社計)
ウェブサイト:https://www.valtes-hd.co.jp/
【バルテス株式会社】
企業名:バルテス株式会社
代表者:代表取締役会長 兼 社長 田中 真史
本社所在地:(大阪本社)大阪市西区阿波座1-3-15 関電不動産西本町ビル8F
(東京本社)東京都千代田区麹町1-6-4 住友不動産半蔵門駅前ビル11F
設立:2023年4月6日(2023年10月にバルテス分割準備株式会社から商号変更)
ホームページ:https://www.valtes.co.jp/