2018年GovWareにおける調査：リソースとオープンソースの利用についての課題が顕在化

2018年9月、シノプシスのAPACソフトウェア・インテグリティ・グループは、第27回GovernmentWare (GovWare)に参加した。GovWareカンファレンスは、世界および地域の協業と協力を通じてサイバー・エコシステムの構築とイノベーションを促進するシンガポール・インターナショナル・サイバー・ウィーク（SICW）の中心的なイベントとして開催されている。SICWには、世界中から数千人のサイバーセキュリティの専門家が集う。今年も例外ではなく、SICW 2018には、50以上の国から、60人の講演者、250のスポンサーと展示企業、ならびに8,000人を超えるサイバーセキュリティのエキスパート、リーダーおよび専門家が参加した。

2018年GovWareにおける調査のハイライト

世界各地から多様な組織を代表する多くの専門家が集うGovWareは、現在のサイバーセキュリティの実践と、問題点を評価するために最適な場所になっている。シノプシスは、経営幹部クラスの重役25人、その他の種類の重役14人、中間管理職の専門家136人、およびその他の76人（メディア、教育などを含む）からなる251人の出席者を対象に、それぞれの組織のサイバーセキュリティについての調査を行った。以下が、今回の調査のハイライトとなる（GovWare 2018における調査の全結果については、末尾を参照）。

最も多くの回答者（57%）が、「自分たちの組織ではオープンソースの利用をリスト化または管理するプロセスがない」という回答（30%）か、「オープンソースをまったく使用していない」という回答（27%）のいずれかを選択している。あらゆるセクターでオープンソースが広く利用されていることを考慮すると、この結果は、大きな問題があることを示唆している。組織が自分たちの使用しているオープンソースを把握していないのであれば、あるいはオープンソースをまったく使用していないと錯覚しているのであれば、オープンソースを監視して新たに発見された脆弱性の存在を知ることができず、パッチを適用することも不可能だ。

また、オープンソース・コードはそれを自由に利用できる一方で、自由に再配布できるというわけではない。よく使われている多くのオープンソースのライセンスは、ライセンス付与されたコードを含むソフトウェアにも同じライセンスが付与されていなければならないとしている。言い換えれば、ソースコードを公開しなければならないということだ。組織は、ソフトウェアを定期的にスキャンして、そのコンテンツを評価していなければ、データ侵害とIPの喪失という両方の意味で、自らを大きなリスクにさらすことになる。

セキュリティ意識は向上、しかし課題は残存

よい知らせとしては、回答者の4分の3弱（71%）が、「自分たちの組織はインシデント対応計画を策定して、サイバー攻撃の発生時に向けた対応をしている」と答えている。さらに多くの回答者（83%）が、「自分たちの組織はすべての社員にサイバーセキュリティ・トレーニングを受けさせている」とも回答している（正式なトレーニングを必須としている組織がもっとも多く、53%がそのように回答）。さらに、回答者の正味90%が、「組織にはアプリケーション・セキュリティのプロセスがある」と答えている。この数字が年々増えているのは、好ましい傾向といえる。しかし、2018年になっても、回答者の13%が「組織にはインシデント対応計画がない」と答えていることは、意外であった（さらに、16%が不明と回答）。同じように気になるのは、回答者の10%が、「組織には正式なAppSecプロセス（専門の社内チームあるいはサードパーティーのベンダーが行うもの）がない」と答えていることだ。

「インシデント対応計画なし」のグループと「正式なAppSecプロセスなし」のグループの比率が類似しているのは、偶然ではないのかもしれない。正式なAppSecプロセスのない組織は、インシデント対応にも苦慮しているというのは大いにあり得ることで、その逆もいえるだろう。しかし、リソース不足が本当の理由なのだろうか。これらの組織が、セキュリティ上の問題で重要なギャップを埋められないままでいる理由とは、実際には何なのだろう。回答者からはこの質問に対して明確な回答があった。回答者の56%が、「スキルのあるセキュリティ要員またはトレーニングが足りないことがアプリケーション・セキュリティ・プログラムを導入する際の組織の課題となっている」と回答した。「予算（18%）あるいは経営陣の同意が得られない（17%）」と答えた回答者は、それほど多くはないのだ。

調査の全結果

さほど驚くに値しない結果もあるが、考えさせられるようなものや警告サインが点灯しているようなものもある。最新の動向を知るために、これらの結果をさらに掘り下げる必要がある。以下のGovWare 2018調査全結果を確認すること。それぞれの質問および回答の選択肢に有効回答者の数が記されている。複数回答が可能な質問もあり、比率の合計が100を超えている場合があるのには注意が必要である。

あなたの組織が攻撃を受けるリスクはどの程度であると評価していますか？（回答数249）

• 32% ハイリスクの組織で、広範かつ成熟したセキュリティ・プログラムがある (79)
• 10% ハイリスクの組織で、さほど成熟したものではないが、セキュリティ・プログラムがある (25)
• 39% 中程度のリスク (97)
• 19% 低リスク（攻撃を受けそうにない、あるいはターゲットして小規模すぎる） (47)

セキュリティ上の最大の関心事は何ですか？（回答数209）

• 49% 脅威/侵害の検知 (103)
• 36% データおよびIPの保護 (76)
• 14% 規制への適合 (30)

組織にとって最大のセキュリティ上のリスクをもたらすのは、どのタイプのアプリケーションおよびシステムですか？（回答数246）複数回答可

• 36% 顧客向けのウェブ・アプリケーション (89)
• 25% モバイル・アプリケーション (62)
• 24% デスクトップ・アプリケーション (59)
• 16% 内蔵型またはIoTのシステム (40)
• 26% 内部向けのウェブ・アプリケーション (63)

以下の記述のうち、あなたの組織のアプリケーション・セキュリティへのアプローチにもっとも近いものはどれですか？（回答数248）

• 35% インターネット・アプリケーション・セキュリティの専用のチームまたはイニシアティブがある (87)
• 7% アプリケーションの評価および保護にサードパーティーのベンダーを使っている (18)
• 47% 内部のチーム/イニシアティブとサードパーティーのベンダーを組み合わせている (117)
• 10% 現在、正式なアプリケーション・セキュリティのプロセスは導入していない (26)

あなたの組織へのサイバーアタックに対処するためのインシデント対応計画を策定していますか？（回答数251）

• 71% 策定している (179)
• 13% 策定していない (33)
• 16% わからない (39)

オープンソース・ソフトウェア・コンポーネント/フレームワークの使用に対して、あなたの組織ではどのようなアプローチをとっていますか？（回答数243）

• 43% オープンソース・コードをリスト化および管理するためのプロセスを確立している (104)
• 30% オープンソースは使用しているが、それらをリスト化または管理するためのプロセスはない (74)
• 27% オープンソース・コードは使用していない (65)

アプリケーション・セキュリティ・プログラムを導入するとき、どのような課題に直面していますか？（回答数247）複数回答可

• 56% スキルのあるセキュリティ要員またはトレーニングが足りない (138)
• 18% 予算が足りない、またはない (45)
• 17% 経営陣の同意が得られない (43)
• 22% 課題はない (54)

すべての社員にサイバーセキュリティの意識を高めるためのトレーニングを受けさせていますか？（回答数250）

• 53% 受けさせており、テスト付きの正式トレーニングが必須となっている (133)
• 30% 受けさせており、正式なトレーニングではないが、ポリシーが文書化されている (74)
• 17% 受けさせていない (43)