シマンテックは10月12日、インターネット向けWebアプリケーションを開発する技術者400人を対象に実施した、セキュリティに関するアンケート調査の結果を公開した。同社は、「3年前の調査結果と比較すると、セキュリティを重視する姿勢が鮮明に表れている。ただし、体系立ててセキュリティに関する教育をしたり、開発プロセスにセキュリティ対策を組み込むといった取り組みは不十分」と調査結果を分析する。

 調査は、外部の調査会社に依頼して2006年6月に実施した。回答者のうち、「自社がセキュリティを踏まえたシステム開発のための教育に力を入れている」と答えた人が68%、「自社がセキュリティ対策をシステム開発の中でプライオリティが非常に高いものと位置づけている」と答えた人が33%に上り、企業の意識の高さがうかがえた。一方で教育については、専門のセキュリティ教育を受けたと回答したのは40%にとどまり、66%の回答者がOJT(オンザ・ジョブ・トレーニング)によるものと答えた。

 システム開発の納期とセキュリティ対策のどちらを優先させているかを尋ねた設問では、回答者のうち12%は「常に納期を優先」、30%は「納期を優先させることが多い」と答えた。一方、「常にセキュリティを優先させる」と回答したのは12%、「セキュリティを優先させることが多い」と答えたのは16%だった。「数年前は、ここまでセキュリティを優先させる人は多くなかっただろう」(シマンテック)。

 しかし、実際に開発プロセスの中にセキュリティ対策の観点からコードをチェックするような工程を組み込んでいるかという問いに対しては、「常に組み込んでいる」という回答は3割にとどまる。63%が「時々」、7%は「組み込んでいない」と回答した。

 回答者の平均年齢は40歳。システム開発の経験年数は平均10年で、開発チームの規模は20人程度。