AWSユーザーのセキュリティ意識を調査、導入製品や年間予算も明らかに／DIT調べ

　AWS（アマゾン ウェブ サービス）を使う上での課題や不安を聞いた結果が図1です。

　「セキュリティ対策」が51.6％ともっとも多く、「既存システムとの互換性」（42.1％）、「自由度が低い・カスタマイズがしにくい」（28.4％）が続きます。ネットワークを活用するシステムは、便利であればあるほどユーザー数も増えると考えられることから、リスクも高くなりがちです。このリスクに不安を感じる人は多いのかもしれません。 　サイバー攻撃を受けたとき、企業受ける被害についても聞いています（図1）。結果は、「個人情報の流出」（51.6％）が一番多く、「システム破壊」（38.5％）や「ビジネス機会の損失」（35.7％）、「Webサイトの改ざん」（35.5％）などの被害を懸念する人も多数見られます。 　ではセキュリティ対策としてどんな製品を導入、もしくは導入を検討しているのか。その結果が図2です。

　一番多かったのは「IDS/IPS」で、30.0％の割合を占めました。「FW」（29.0％）、「NGFW」（13.9％）、「WAF」（13.3％）が続きます。セキュリティ製品として広く定着する「FW（ファイアウォール）」よりも、通信内容を監視して不正なアクセスを検知／防御する「IDS/IPS」を導入（導入を検討）する割合が高いことが分かります。なお、「NGFW」は次世代型のファイアウォール。新たな脅威に対し、最新技術を駆使したセキュリティ環境構築を進める企業が1割強いることも特筆すべきでしょう。 　AWSが提供するファイアウォール「AWS WAF」の導入状況を聞いた結果が図3です。

　「AWS WAFを導入済みである」と「AWS WAFの導入を検討している」を合わせると、7割以上の企業がAWS WAFを導入（導入を検討）していることが分かりました。AWSユーザーにとってWAFを導入しやすいことから、セキュリティに十分な知識やノウハウのない企業などを中心に導入が進んでいるのかもしれません。 　一方で、「AWS WAF」導入にあたり課題はあるのでしょうか。課題も聞いています（図3）。結果は、「新規の脆弱性の早期発見と防御のための対応がわからない」が40.5％で多く、「WAFルール作成のための専門知識がなく、高い防御性能を作れない」（34.5％）、「誤検知や過剰検知が発生した時、適切な対応ができない」（28.4％）が続きます。「対応できない」「専門知識がない」などの回答が多い傾向でした。 　セキュリティ対策にかける年間予算についても聞いています。その結果が図4です。

　「1,000万円以上」が29.8％でもっとも多く、2位が「100万円以上300万円未満」（23.6％）、3位が「300万円以上600万円未満」（21.4％）でした。 　セキュリティ製品を導入する際の検討要素も聞いています（図4）。結果は、「テクニカルサポート」が44.8％で一番多い割合を占めました。価格や機能、使用する技術などより、導入・運用中の支援を受けられるか、手厚いサポート体制かなどを気にする企業が多いようです。なお、2位は「費用」（41.9％）、3位は「セキュリティ運用管理サービス」（40.1％）でした。 　そもそも自社内にセキュリティに精通する専門人材はいるのか。有無を聞いた結果が図5です。

　結果は「いる」が74.6％で、「いない」（25.4％）を大きく上回りました。従業員数100人以上の、ある程度の規模の企業であれば専門家を抱える傾向が強いと推察されます。 　最後にセキュリティの脆弱性をどうとらえているかも聞いています（図5）。「最新脆弱性対応は重要だが、現実問題として専門家がおらず対応できない」が31.2％でもっとも多く、「最新脆弱性対応は重要で、現在適用しているセキュリティ内容で満足している」（24.0％）、「最新脆弱性対応は重要だが、そこまで手が回らない」（17.7％）が続きます。 　セキュリティ専門家を社内に抱えるという企業が多い一方、最新の脆弱性問題などは必ずしも対応できずにいる状況が読み取れます。「そこまで手が回らない」という回答にもあるように、十分対応できる社内体制を構築できずにいるケースも少なくないようです。