クラウドサービスのセキュリティ対策状況変動データを公開
〜約3割が初回調査からスコア低下、
利用サービスの定期的な”健康診断”（＝リスク評価）が重要〜

Visionalグループの株式会社アシュアードが、Assured上でセキュリティ対策状況を調査したクラウドサービスの初回調査から最新調査までの変動データを公開しました。
その結果、28.8%のサービスでスコアが低下しており、2.3%が10ポイント超低下していました。クラウドサービスは日々アップデートされており、機能追加や仕様変更などによりセキュリティリスクが変動する可能性があります。そのため、新規導入時だけでなく利用サービスの定期的な棚卸し、リスク評価を行うことが重要です。

※調査概要：
・調査対象サービス数：131
・対象定義：Assured上でセキュリティ調査を2回以上行ったSaaS/ASPなどのクラウドサービス（国内外）
・クラウドサービスカテゴリ例：コミュニケーション／営業・顧客管理／マーケティング／経理・会計・財務／人事・採用・労務／総務／法務など多数

Assuredは、SaaS/ASPなどのクラウドサービスにおけるセキュリティリスク（安全性）の第三者評価情報をデータベースに一元化したプラットフォームです。Assured独自の質問票（経済産業省や総務省が公開しているガイドラインや、NIST SP800-53、ISO27001、ISO27017等の国際規格に基づき構成された約120項目）を元に、専門資格を保有するAssuredのセキュリティ評価専門チームがリスクを評価しています。

• 28.8%がスコア低下。10.1ポイント以上低下は2.3%
  • 新規導入時の調査ではセキュリティ上問題ないと判断し、導入を決定した場合も、最新の調査ではセキュリティ上懸念がある状態になっている可能性があります。
• 53％がスコア上昇。10.1ポイント以上上昇は8.3%
  • 新規導入時の調査でセキュリティ上懸念があった場合も、その後改善が進み、問題点が払拭されていることもあります。

〜外部のクラウドサービス利用も定期的な”健康診断”が必要不可欠〜

クラウドサービスは日々アップデートしており、その度にセキュリティリスクも変動する可能性があります。また、外部環境も常に変化しているため、新たな法令やガイドラインで定められるルールに則った対策が必要になることもあります。

そのため、外部のクラウドサービスを利用する際には、新規導入時だけでなく、導入後の棚卸し・定期評価を実施することが重要です。

身体の健康診断を定期的に行うことで潜在的な健康リスクを発見できるように、セキュリティにおいても、定期的な評価を行うことで、外部のクラウドサービスに起因したインシデントのリスクを察知し、利用可否を再度検討したり、情報の取り扱い等運用方法を見直す等、適切な対処を行うことができます。

＜クラウドサービスの定期評価を要求する主要な法令・ガイドライン＞

 

 

＜定期評価により把握することができる問題例＞

・預託データが海外に保管されるように変更されていた

・開発、保守・運用やデータの取り扱いを再委託するようになっていた

・ISMS認証等の第三者認証が失効していた

・クラウドサービスの導入時は実施されていたセキュリティ対策が実施されてなくなっていた

・脆弱性診断が定期的に実施されていなかった

 

本リリースに係る詳細資料はこちらからご確認いただけます

URL:DXを失敗させない。安全なクラウド選定基準・管理とは？