イードは1月24日、NHNテコラスと共同で「WEBアプリケーション脆弱性診断サービス」に関するアンケートを実施し、調査結果を発表した。
同調査は「WEBアプリケーション脆弱性診断サービス」を利用した経験のある企業の情報システム部門担当者など508名を対象に、Webアプリケーションの脆弱性診断を行う際、どのような基準で診断会社を選定するかを調査したもの。調査期間は2016年11月25日から11月28日まで。
調査によると、年間のWebアプリケーション脆弱性診断実施回数で最も比率が高かったのは2~4回(42.5%)。1回あたりの予算は20万円未満(29.1%)が最も高い比率を占めた。
また、48.6%が診断の現行予算額を妥当であると考える一方、35.6%が予算を減らしたい、15.7%が増やしたいと考えていることがわかった。減らしたいと考える比率は、診断1回あたりの予算が20万円未満の層で最多(41.9%)となり、反対に増やしたいと考える比率は診断1回あたりの予算が500万円以上の層で最多(39.0%)となった。おおむね現行予算額が大きい企業ほど、予算を増加させたい意向を持っていることが伺える。
さらに、情報システム部門やCISO(情報セキュリティ最高責任者)、専業のセキュリティ部門、SOC(セキュリティ・オペレーション・センター)、CSIRT(Computer Security Incident Response Team)の有無などの整備状況は、企業規模による差はあるものの、セキュリティ対策と監視、緊急対応などの体制が整備されているとする回答が過半を占め、サイバー攻撃の危機感に企業が敏感に反応している現状を示している。その反面、体制整備が進まない企業ほど「サイバー攻撃による被害を受けたことがない/または気づいていない」と回答する傾向が見られ、二極化する現状が分かった。