日々増える「脆弱性」にどう対応？ 約9割の企業が定期的に脆弱性診断を実施中【MOTEX調べ】

エムオーテックス（MOTEX）は、「企業における脆弱性診断の実態と意識調査」の結果を発表した。企業の情報システム・セキュリティに携わる担当者約1,000人が回答している。

精度やコスト、リソース確保がネックに？

まず「情報システム部門が管理している対象システム（サーバー、ネットワーク機器、Webアプリケーション・SaaS）の数」を聞くと、従業員規模が大きくなるほど管理数も比例して増加。従業員数1,000名以上の企業では、500台を超えるハードウェア機器を管理している企業が3割以上を占めた。

Webアプリケーションやクラウドサービス（SaaS）などソフトウェアも含めると、情報システム部門が管理している対象システムは数十～百以上にわたる。

「管理対象システムに対する脆弱性診断の実施頻度」については、「四半期ごと」30%が最多で、「半年ごと」23%、「毎月」17%が続いており、「年に1回」16%を合わせると、年1回以上の定期的な診断が9割の企業に根付いているようだ。

また「診断にかける予算」についても、「現状維持」49%が半数を占めるが「増加傾向」42%がそれに続く。

「セキュリティ対策を行う上で優先度の高い施策（3つを選択）」という質問に対しては、「アクセス制御の強化」508票が最多で、以下「セキュリティの監視」433票、「ゼロトラストネットワークの導入」408票が上位。

「今後実施したい施策（複数回答可）」では、「ネットワーク診断」413票が最多で、以下「Webアプリケーション診断」358票、「スマートフォンアプリケーション診断」358票が上位となった。ランサムウェアの侵入対策として「ネットワーク診断」は非常に有効と言えるとMOTEXでは指摘している。

調査概要

• 【調査対象】企業の情報システム・セキュリティに携わる担当者
• 【調査方法】インターネット調査（モニター提供元：PRIZMAリサーチ）
• 【調査時期】2025年3月14日～18日
• 【調査人数】1,017人（従業員規模300名未満：214人 ／ 従業員規模300～1,000名未満：380人 ／ 従業員規模1,000名以上：423人）