2021年5月11日
WAF「Scutum」における2010年-2020年のユーザ傾向レポート
~市場シェアNo.1クラウド型WAFの11年間のご利用傾向からみる、
企業のWebセキュリティ対策意識の変化~
株式会社セキュアスカイ・テクノロジー(東京都千代田区、代表取締役大木元、以下 SST)がサービス提供を、株式会社ビットフォレスト(東京都千代田区、代表取締役高尾都季一)が技術提供を行うクラウド型WAF「Scutum(スキュータム)」は、2010年から2020年までの11年間のサービス提供状況を元に、ユーザの利用傾向とその推移について独自に集計を行い、取りまとめたレポートを公開します。
●集計概要
- 対象期間:2010年1月1日~2020年12月31日
- 集計対象:「Scutum」をご契約された全ユーザアカウントおよび全ご利用サイト
- データソース:「Scutum」が保有する、契約ユーザおよびご利用サイトに関するデータ
「Scutum」は、2009年6月に世界初(*1)のクラウド型(SaaS型)WAFサービスとしてスタートし、2020年末時点で11年7カ月、4200日以上の間、継続的にWAFサービスを提供してきました。この11年間は、「WAF」や「Webセキュリティ」という言葉がまだ一般的ではなかった時代から、業種やサービスの区別なくあらゆるWebサイト/Webアプリケーションでセキュリティ対策が当たり前になる時代へと変化した時期でもあります。 新型コロナウイルスの影響もありデジタルシフトが加速する現在、新規サイトが増加する一方でサイバー攻撃も増加を続けており、Webセキュリティ対策の重要性はますます高まっていますが、これまでScutumがユーザとともに歩んできた11年間のご利用傾向とその推移を通じて、Webセキュリティ対策に関する企業の意識と行動の変化を理解し、今後を展望する一助となれば幸いです。
*1:2009年 SST調べ
*2、*3、*4:Scutumご利用全サイトの中で該当業種・該当サイト種別が占める比率より算出(下記グラフ参照)
*5、*6:ユーザ別の契約状況より集計
●情報通信業以外の業種への導入拡大
2010年 43% → 2020年 74%
サービス開始初期は、情報通信業への導入が多く、2010年で全ご利用サイトのうち57%、2012年には62%を占め、その他の業種は合計で38%にとどまっていましたが、その後製造業、サービス業のほか、エネルギー・インフラ関連や公的機関など幅広い業種への導入が一気に進みました。情報通信業以外の導入サイト比率は2014年に71%まで上昇し、その後2020年の74%までこの傾向は続いています。
この変化の背景としては、Scutumのサービス開始初期にいち早くクラウド型WAFに注目したのが、既に従来型のWAFに関してその効果(脆弱性への対応、攻撃からの防御)とデメリット(導入の難しさ、継続運用の負担、費用の高さなど)の両方を認識していたIT系企業が中心であったことに加え、その後、サイバーセキュリティ基本法の成立(2014年)や、教育・運輸・製造など幅広い業種で情報詐取を目的とした攻撃が数多く発生したことなどから、業種を問わずWebサイトの脆弱性を狙った攻撃への具体的な対策が必要との認識が拡大した点が影響していると考えられます。
2010年時点のScutum導入サイトの種別で最も多いのは「ECサイト」(39%)、次いで「会員管理サイト」(16%)でした。当時はまだ「Webサイトへの攻撃対象となるのは大量の個人情報やクレジットカード情報を取り扱うサイト」というイメージが一般には強く、Scutumのユーザ企業でもこうしたサイトから導入が始まったケースが目立ちました。その後数年を経て、この割合が大きく変化していきます。
●コーポレートサイトやブランド/製品/情報発信サイトへの導入
2010年 21% → 2016年 41% → 2020年 33%
2014以降、コーポレートサイト、ブランド/製品/情報発信サイトへの幅広い導入が進み、自社の全公開サイトへ導入を進めるお客様も増えています。2016年には、コーポレートサイトが全導入サイトの26%、ブランド/製品/情報発信サイトが15%、合計で41%を占め、後述の非公開サイトなど他のサイト種別が増加した後の2020年でも、合計33%と高い割合を保っています。
この変化の主な背景としては、Webサイトへの攻撃による被害増加などの社会状況を受け、決済情報や大量の個人情報を扱うサイトでなくても、改ざん対策の意味からも公開サイトには必ずWebセキュリティ対策を行うといった企業側の意識向上が進んだこと、一部のサイトで数年間利用した上でScutumの継続利用への安心感から複数サイトへの導入を積極的に検討するお客様が多くなったことなどが挙げられます。
●非公開サイトへの導入
2010年 4% → 2016年 18% → 2020年 24%
サービス開始当初、公開を前提としたWebサイトが全導入サイトの大半を占め、2010年時点では開発用途のサイトやステージング用のサイト(「開発用サイト」)は3%、自社内/関係会社/取引先間でのみ利用されるクローズドのサイト(「管理用サイト」)は1%にとどまっていましたが、2016年以降この割合が急増し、2020年には開発用サイトが13%、管理用サイトが11%と、非公開サイトの合計が全体の24%を占めています。
この背景としては、公開サイトへの一律導入から更に進み、アクセス制限で内部利用に限定しているものも含めて全サイトへのWAF導入をポリシー化する企業が増加したことに加え、サプライチェーンの弱点を狙った攻撃への対策意識が高まったことも影響していると推測されます。セキュリティが堅固な大企業だけでなく、その業務委託先や取引先への攻撃を足掛かりにターゲット企業のシステムに攻撃を行う「サプライチェーン攻撃」は、国内でも2017年頃から委託先サイトへの攻撃から個人情報が窃取される事案等で顕在化しており、2019年にはIPAの「情報セキュリティ10大脅威」にもランクインするなど、サプライチェーンの管理はWebセキュリティのポイントの一つとして重視されるようになりました。非公開サイトへのWAF導入が急速に進んだことは、この流れに沿ったものとなっています。
【継続利用、追加導入の状況】
●平均解約率:全期間平均で 0.67%
2010年から2020年のWAF「Scutum」の解約率(顧客数ベースで算出した月別のカスタマーチャーンレートを全期間で平均)は、短期利用予定サイトのユーザを含めても、0.67%となっています。
●追加契約率(*7):全期間平均で60%
Scutumを1年以上ご利用のお客様が新たに契約追加を行った比率は、全期間の平均で60%となっています。単に導入対象サイトが増えたという場合だけでなく、初期に導入したサイトの安定運用を確認した後に、自社の他部門や他のプロジェクトでの導入が進むケースも多く見受けられます。
Scutumではこれまで、導入が簡単で運用不要なWAFというだけでなく、AIを活用しながら、正常な通信を攻撃と認識する「誤検知」の低減に特に注力し、ユーザによるWAF運用の手間を徹底的に軽減してきました。同時に、開発・運用が日本国内で完結しているメリットを活かし、新たな脆弱性への対応スピードを情報収集・分析・実装の各フェーズで追求し、障害時24/365対応を含むきめ細かいサポート体制を一貫して提供してきました。原則として1か月単位で契約が可能で、いつでもやめられるクラウド型の形態を取りながらも、継続利用率が高く、また、追加契約率も高いことは、クラウド型WAFがWebサイトセキュリティの一般的な水際対策として定着したことを示すだけでなく、手放しで安心して利用できるWAFとしてScutumが新旧のWAFご利用ユーザから評価され、市場に定着していることを示すものと考えています。
【参考】国内クラウド型WAF市場シェア10年連続No.1を獲得(2010年度~2019年度):富士キメラ総研刊『2020ネットワークセキュリティビジネス調査総覧』、株式会社アイ・ティ・アール『ITR Market View: サイバー・セキュリティ対策2020』、株式会社ミック経済研究所『情報セキュリティマネージド型・クラウド型サービス市場の現状と展望 2020』 ほか(https://www.scutum.jp/topics/waf_leader.html)
*7:最初から複数サイトご利用のお客様についても、その後1か月以上の期間を置いて追加契約が発生した場合のみ計上。
【幅広いユーザに安心して長期利用いただけるWAFを追求】
Webサイト/Webアプリケーションを狙った攻撃に対して、導入企業側の運用負担をかけずに攻撃を防げるクラウド型WAFは、この11年間、Webセキュリティの一般的な水際対策として幅広い業種や企業のWebサービスやWebサイトに浸透してきました。
Scutumはそのパイオニアとして、運用が不要で、誤検知が少ない高度な検知性能を持ち、新たな脆弱性や攻撃手法に速やかに対応できる研究・開発・サポート体制を提供することが、安心して利用し続けるためのWAFサービスの本質的な価値であると考え、追求してきました。
これからも、Webセキュリティをめぐる状況や企業の対策意識には大きな変化が予想されますが、Scutumでは時代が変わっても変化しないWAF本来の役割を通じて、より幅広い業種、より幅広いサイト種別、より多くの企業や団体の皆様に安心して継続的な長期利用をいただけるよう、クラウド型WAFの国内トップブランドとしてWebサイトの安全性向上に寄与してまいります。
●クラウド型WAFサービス「Scutum(スキュータム)」について
インターネット上で『盾』となって、Webサイトを不正アクセス(攻撃)から守るセキュリティサービスです。お任せ運用・低コストでかつ余計な自前の設備を一切持つことなく、より安全なWebサービスの提供を実現します。
- クラウド型WAFサービス「Scutum(スキュータム)」:https://www.scutum.jp/
- WAFとは?:https://www.scutum.jp/outline/waf.html
【株式会社ビットフォレスト 会社概要】
社名 :株式会社ビットフォレスト
本社所在地 :東京都千代田区神田錦町 1-17-5 神田橋 PR-EX 8F
設立 :2002 年 2 月
代表者 :代表取締役 高尾 都季一
事業内容 :Web アプリケーションセキュリティ技術の提供、Web サイト/Web システムの企画・開発・運用・コンサルティング
URL :https://www.bitforest.jp/
【株式会社セキュアスカイ・テクノロジー 会社概要】
社名 :株式会社セキュアスカイ・テクノロジー
本社所在地 :東京都千代田区神田司町 2-8-1 PMO 神田司町 2F
設立 :2006 年 3 月
代表者 :代表取締役 大木 元
事業内容 :Web アプリケーションの脆弱性診断、クラウド型 WAF サービス、セキュリティ教育・⽀援サービス、コンサルティング
URL :https://www.securesky-tech.com/
【本件に関するお問い合わせ】
株式会社セキュアスカイ・テクノロジー
広報担当 :露口 理央(つゆぐち りお)
E-mail :pr@securesky-tech.com
TEL :050-5445-8822
