Upload
others
View
5
Download
0
Embed Size (px)
Citation preview
勝見勝見 勉勉
JNSAJNSA政策部会政策部会
マーケットリサーチマーケットリサーチWGWG
プロジェクトリーダプロジェクトリーダ
2005 2005 年年66月月1313日日
ITセキュリティ対策施策の導入・実施状況とその満足度調査
Copyright (c) 2005 NPO日本ネットワークセキュリティ協会 Page 2
調査の概要
目的:セキュリティへの取組状況とその抱える問題点の抽出セキュリティの取り組み体制
セキュリティガバナンスの定着状況
セキュリティ対策ツール・サービスの導入状況
ユーザが抱える、ツール・サービスに関する問題点
調査概要:時期・方法: 2004年8~9月 郵送発送・郵送回収
対象:全国企業ユーザ(上場・非上場)3166社(含JNSA)回収数 416通 回収率13.1%インセンティブ: JNSAのセキュリティ啓発CD-ROM冊子
Copyright (c) 2005 NPO日本ネットワークセキュリティ協会 Page 3
回答企業プロファイル
• 業種別分布:ほぼ網羅
• 企業規模別:中小・中堅・大企業をカバー
• 従業員数別:やや中~大企業にシフト?
業種別分布
売上高区分別
1000
億
円未満
38%
5000
億
円未満
20%
50億円
未満
15%
5000
億
円以上
11%100億
円未満
12%
N/A
4%
N/A1%
100名未満9%
5000名以上15%
1000名未満15%
500名未満30%
5000名未満31%
従業員規模別
製造業
鉱業
建設業
35%
サービ
ス業
その他
20%
商業
流通業
関連
12%
情報・
ソフト
ウェア
関連
27%
金融
分野
5%
N/A
0%
Copyright (c) 2005 NPO日本ネットワークセキュリティ協会 Page 4
38.7% 31.0% 7.7% 7.7% 11.1%
3.8%
0% 20% 40% 60% 80% 100%
1%未満
3%未満
5%未満
10%未満
10%以上
N/A
売上高対比の年間IT予算規模
IT予算とセキュリティ予算
0% 20% 40% 60% 80% 100%
製造業・鉱業・建設業
0% 20% 40% 60% 80% 100%
商業・流通業関連
0% 20% 40% 60% 80% 100%
情報・ソフトウェア関連
0% 20% 40% 60% 80% 100%
サービス業・その他
0% 20% 40% 60% 80% 100%
金融分野
Copyright (c) 2005 NPO日本ネットワークセキュリティ協会 Page 5
IT予算はどれだけセキュリティに回されるか?
28.4% 16.1% 12.7%30.5%
5.5% 6.7%
0% 20% 40% 60% 80% 100%
1%未満
5%未満
10%未満
20%未満
20%以上
N/A
Copyright (c) 2005 NPO日本ネットワークセキュリティ協会 Page 6
情報セキュリティ対応体制
N/A, 0.5%
CSO(セキュリティ対策担当役員)がいる, 7.0%
CISO(情報セキュリティ対策担当役員)がいる, 17.8%
情報セキュリティはCIO(情報システム担当役員)の所管である, 25.2%情報セキュリティ
CEO(最高経営責任者または社長)が直接所管理している, 6.0%
情報セキュリティ担当役員は特に定めていない, 43.5%
兼任部署28%
専任部署26%
特に定めていない16%
要員を配置30%
CSO/CISO等の選任
セキュリティの専任要員・部署
Copyright (c) 2005 NPO日本ネットワークセキュリティ協会 Page 7
情報セキュリティガバナンス
情報セキュリティポリシー
策定済み56%+策定予定37%=93%
外部サービスの利用(策定):15%
サービスの不満:教科書的。現実に即さず。
ISMS等:取得済み18%+取得予定31%=49%
プライバシーポリシー
策定済み35%+策定予定47%=82%
Pマーク: 取得済み14%+取得予定31%=45%
Copyright (c) 2005 NPO日本ネットワークセキュリティ協会 Page 8
ITセキュリティツールの導入状況
0% 20% 40% 60% 80% 100%
ファイアウォール
IDS・IPS
ウィルス対策
コンテンツセキュリティ
個人認証・ID管理
リモートアクセスの安全対策
脆弱性検査・ポリシー監査
Copyright (c) 2005 NPO日本ネットワークセキュリティ協会 Page 9
アプライアンスの普及度
ファイアウォール: 60%
侵入検知・防御システム: 22%
ウイルス対策: 16%
Copyright (c) 2005 NPO日本ネットワークセキュリティ協会 Page 10
プロフェッショナルサービスの利用
ファイアウォール: 20%
侵入検知・防御システム: 15%
ウイルス対策: 18%
コンテンツセキュリティ対策: 11%
脆弱性検査・ポリシー監査: 24%
Copyright (c) 2005 NPO日本ネットワークセキュリティ協会 Page 11
セキュリティ製品・サービスの満足度
ファイアウォール: 19%
侵入検知・防御システム: 24%
ウイルス対策: 30%
コンテンツセキュリティ: 29%
個人認証・ID管理: 46%
リモートアクセス: 30%
脆弱性検査・ポリシー監査: 24%
「不満はない」「機能」「性能(パフォーマンス・スループット)」「品質・信頼性」「費用対効果」
不満
Copyright (c) 2005 NPO日本ネットワークセキュリティ協会 Page 12
ファイアウォールの不満
• 本当に役に立ってる?• マニュアルが不十分・設定が難しい• ログの解析がたいへん• 老朽化で性能不足• パフォーマンス不足・一時的な低下• 保守料・ライセンス料・運用費用が高い• すりぬけがある• 要員の育成=悩み?
Copyright (c) 2005 NPO日本ネットワークセキュリティ協会 Page 13
侵入検知・防御システムの不満
• 誤報・誤検知問題/チューニング問題• シグネチャのアップデート• DOSの兆候をキャッチして未然防止を
Copyright (c) 2005 NPO日本ネットワークセキュリティ協会 Page 14
ウイルス対策システムの問題点
• 定義ファイルの更新タイミング=すりぬけがある 遅い 配布の手間
• アンチウィルスソフトを入れても万全じゃない• サーバとクライアント両方入れるのは無駄• ネットワークOSが古いからAVも古いのが・・・・
Copyright (c) 2005 NPO日本ネットワークセキュリティ協会 Page 15
個人認証とID管理システムの不満
• NTドメインとADが混在→PWが設定できない
• PWが不適切で変更頻度も低い• ユーザーのPW管理がずさん• PWの変更が困難。すぐわかるPW• システムごとにPW・認証方式が違う• ユーザに負担をかけたくないが・・・・• 運用管理の負荷が高い
Copyright (c) 2005 NPO日本ネットワークセキュリティ協会 Page 16
リモートアクセス安全対策の問題点
• 回線速度が遅い• RASが古くて対応OSに限りが・・・・• VPNの通信品質が安定しない• コストがかかる• ユーザに負担が・・・
Copyright (c) 2005 NPO日本ネットワークセキュリティ協会 Page 17
脆弱性検査・ポリシー監査ツールの問題点
• アプリケーションの検査がしたい• 検査結果に基づくアドバイスをもっと
Copyright (c) 2005 NPO日本ネットワークセキュリティ協会 Page 18
コンテンツセキュリティ対策ツールの問
題点
• フィルタリングの設定・アルゴリズムが不明、わかりにくい、動作が不適切
• 維持費が高い・費用が高い
Copyright (c) 2005 NPO日本ネットワークセキュリティ協会 Page 19
垣間見えたもの:::
• 「ポリシー」は完璧? 体制はばっちり?
• サービス嫌い? 「難しい」のに任せない
• 製品の問題?運用の問題?• 陳腐化したシステムを抱え続ける危険• ユーザ教育を本気で考えなくては・・・• 考え方を整理しよう:ベンダーvs管理者vsユーザ &サービス
Copyright (c) 2005 NPO日本ネットワークセキュリティ協会 Page 20
フル・レポート
http://[email protected]
勝見 勉グローバルセキュリティエキスパート株式会社
ソリューション事業部長[email protected] [email protected]
http://www.jnsa.org/active2004_15a.html