2018年9月、シノプシスのAPACソフトウェア・インテグリティ・グループは、第27回GovernmentWare (GovWare)に参加した。GovWareカンファレンスは、世界および地域の協業と協力を通じてサイバー・エコシステムの構築とイノベーションを促進するシンガポール・インターナショナル・サイバー・ウィーク(SICW)の中心的なイベントとして開催されている。SICWには、世界中から数千人のサイバーセキュリティの専門家が集う。今年も例外ではなく、SICW 2018には、50以上の国から、60人の講演者、250のスポンサーと展示企業、ならびに8,000人を超えるサイバーセキュリティのエキスパート、リーダーおよび専門家が参加した。
世界各地から多様な組織を代表する多くの専門家が集うGovWareは、現在のサイバーセキュリティの実践と、問題点を評価するために最適な場所になっている。シノプシスは、経営幹部クラスの重役25人、その他の種類の重役14人、中間管理職の専門家136人、およびその他の76人(メディア、教育などを含む)からなる251人の出席者を対象に、それぞれの組織のサイバーセキュリティについての調査を行った。以下が、今回の調査のハイライトとなる(GovWare 2018における調査の全結果については、末尾を参照)。
最も多くの回答者(57%)が、「自分たちの組織ではオープンソースの利用をリスト化または管理するプロセスがない」という回答(30%)か、「オープンソースをまったく使用していない」という回答(27%)のいずれかを選択している。あらゆるセクターでオープンソースが広く利用されていることを考慮すると、この結果は、大きな問題があることを示唆している。組織が自分たちの使用しているオープンソースを把握していないのであれば、あるいはオープンソースをまったく使用していないと錯覚しているのであれば、オープンソースを監視して新たに発見された脆弱性の存在を知ることができず、パッチを適用することも不可能だ。
また、オープンソース・コードはそれを自由に利用できる一方で、自由に再配布できるというわけではない。よく使われている多くのオープンソースのライセンスは、ライセンス付与されたコードを含むソフトウェアにも同じライセンスが付与されていなければならないとしている。言い換えれば、ソースコードを公開しなければならないということだ。組織は、ソフトウェアを定期的にスキャンして、そのコンテンツを評価していなければ、データ侵害とIPの喪失という両方の意味で、自らを大きなリスクにさらすことになる。
よい知らせとしては、回答者の4分の3弱(71%)が、「自分たちの組織はインシデント対応計画を策定して、サイバー攻撃の発生時に向けた対応をしている」と答えている。さらに多くの回答者(83%)が、「自分たちの組織はすべての社員にサイバーセキュリティ・トレーニングを受けさせている」とも回答している(正式なトレーニングを必須としている組織がもっとも多く、53%がそのように回答)。さらに、回答者の正味90%が、「組織にはアプリケーション・セキュリティのプロセスがある」と答えている。この数字が年々増えているのは、好ましい傾向といえる。しかし、2018年になっても、回答者の13%が「組織にはインシデント対応計画がない」と答えていることは、意外であった(さらに、16%が不明と回答)。同じように気になるのは、回答者の10%が、「組織には正式なAppSecプロセス(専門の社内チームあるいはサードパーティーのベンダーが行うもの)がない」と答えていることだ。
「インシデント対応計画なし」のグループと「正式なAppSecプロセスなし」のグループの比率が類似しているのは、偶然ではないのかもしれない。正式なAppSecプロセスのない組織は、インシデント対応にも苦慮しているというのは大いにあり得ることで、その逆もいえるだろう。しかし、リソース不足が本当の理由なのだろうか。これらの組織が、セキュリティ上の問題で重要なギャップを埋められないままでいる理由とは、実際には何なのだろう。回答者からはこの質問に対して明確な回答があった。回答者の56%が、「スキルのあるセキュリティ要員またはトレーニングが足りないことがアプリケーション・セキュリティ・プログラムを導入する際の組織の課題となっている」と回答した。「予算(18%)あるいは経営陣の同意が得られない(17%)」と答えた回答者は、それほど多くはないのだ。
さほど驚くに値しない結果もあるが、考えさせられるようなものや警告サインが点灯しているようなものもある。最新の動向を知るために、これらの結果をさらに掘り下げる必要がある。以下のGovWare 2018調査全結果を確認すること。それぞれの質問および回答の選択肢に有効回答者の数が記されている。複数回答が可能な質問もあり、比率の合計が100を超えている場合があるのには注意が必要である。
あなたの組織が攻撃を受けるリスクはどの程度であると評価していますか?(回答数249)
セキュリティ上の最大の関心事は何ですか?(回答数209)
組織にとって最大のセキュリティ上のリスクをもたらすのは、どのタイプのアプリケーションおよびシステムですか?(回答数246)複数回答可
以下の記述のうち、あなたの組織のアプリケーション・セキュリティへのアプローチにもっとも近いものはどれですか?(回答数248)
あなたの組織へのサイバーアタックに対処するためのインシデント対応計画を策定していますか?(回答数251)
オープンソース・ソフトウェア・コンポーネント/フレームワークの使用に対して、あなたの組織ではどのようなアプローチをとっていますか?(回答数243)
アプリケーション・セキュリティ・プログラムを導入するとき、どのような課題に直面していますか?(回答数247)複数回答可
すべての社員にサイバーセキュリティの意識を高めるためのトレーニングを受けさせていますか?(回答数250)