セキュリティ評価プラットフォーム「Assured(アシュアード)」は、従業員数1,000名以上を有する大手企業の情報システム部門に所属する300人を対象としたクラウドサービスのセキュリティ評価に関する調査を実施し、結果を2023年8月9日に発表しました。
※本調査を引用される際には、「Assured調べ」と必ずご記載ください。
<結果サマリー> ●69.7%がクラウドサービス利用拡大予定。一方で、61.3%がセキュリティ上の不安を感じている ‐ クラウドサービスに対するサイバー攻撃による被害を懸念 ●69.6%がクラウドサービスのセキュリティ評価を実施。一方で、87.1%が自社のセキュリティ評価に課題を感じている ‐ 「評価項目の正確性/網羅性」(37.8%)「適切に(正しく)評価出来ているか不安」(34.4%)「利用(申請)部門の対応負荷が大きい」(22.5%) ●セキュリティチェックシートを活用する企業のうち、84.3%が課題を感じている ‐ 「リスクを網羅的に確認出来ているか分からない」(51.2%)、「クラウドサービス事業者とのやり取りに工数がかかる」(46.5%)、「社内の利用部門とのやり取りに工数がかかる」(41.7%) |
社会全体でDXの機運が高まるなか、企業におけるSaaS/ASPなどのクラウドサービス利用が拡大しています。生産性向上やイノベーション創出への寄与が期待される一方で、SaaS事業者に対するサイバー攻撃被害も多発するなど、セキュリティ脅威が拡大しています。
こうした事態を受け、政府によるガイドラインの発行、見直しや認証制度など様々な政策・取り組みも進められています。今年2023年3月には経済産業省が発行する「サイバーセキュリティ経営ガイドライン」(※1)で、クラウドサービスを含むサプライチェーンの安全性確保に関する項目が追加。同年7月には、IPAより「クラウドサービス(SaaS)のサプライチェーンリスクマネジメント実態調査」(※2)が公開され、SaaS事業者のセキュリティ情報開示における課題、利用者が適切なサービス選定が出来ていない懸念について触れられています。
そうしたクラウドサービスの安全性を可視化し、高精度で効率的なセキュリティ評価を実現するため、Assuredはクラウドサービスのセキュリティ対策状況を第三者の専門家が調査し、その評価結果をデータベースに集約。プラットフォーム上で、クラウドサービスを利用する企業・事業者双方を繋ぐ役割を担うことで、安心・安全なクラウド活用を支えています。
この度、従業員数1,000名以上の大手企業を対象とし、クラウドサービスのセキュリティ評価に関する実態調査を行いました。
※1 https://www.meti.go.jp/press/2022/03/20230324002/20230324002.html
※2 https://www.ipa.go.jp/security/reports/economics/scrm/cloud2022.html
今回調査した企業の69.7%が、今後クラウドサービスの利用を拡大する予定があると回答しました。
一方で、利用拡大予定と回答したうち、61.3%がクラウドサービスの利用に対して不安を感じていると回答。具体的には、クラウドサービスに対するサイバー攻撃による被害への不安が多く、システム停止や情報漏えい、システムの改ざんに懸念があることが分かりました。
デジタル化の動きは今後も加速が見込まれると同時に、セキュリティ不安のジレンマを抱えていることが伺えます。
69.6%の企業が、自社で利用するクラウドサービスのセキュリティ評価を行っていることが分かりました。
クラウドサービスのセキュリティ評価を行なっている理由としては、「リスクを未然に防ぐ・軽減するため」(69.9%)、「コンプライアンスとして定められているから」(52.2%)、「顧客からの信頼を保つため」(39.2%)などが挙げられています(複数回答)。
一方で、87.1%が自社のセキュリティ評価に課題を感じていることが分かりました。具体的には、「評価項目の正確性/網羅性」(37.8%)「適切に(正しく)評価出来ているか不安」(34.4%)「利用(申請)部門の対応負荷が大きい」(22.5%)などの課題が挙げられています(複数回答)。
この状況に対して、96.7%がセキュリティ評価に関わる課題を解決したいと考えているものの、73.1%が具体的な対策の予定がない状況です。
従業員数1,000名以上の企業の多くでクラウドサービスの安全性確保に向けたセキュリティ評価の重要性が認識されていることが分かります。リスクを未然に防ぐため必要な対応である一方で、評価の精度や工数に課題を感じながらも、解決策が見つからないまま現状の体制で対応せざるをえない状況であることが伺えます。
セキュリティ評価のための情報収集では、60.8%がセキュリティチェックシートを活用していることが分かりました。
そのセキュリティチェックシートに対しては、84.3%が課題を感じており、具体的には「リスクを網羅的に確認出来ているか分からない」(51.2%)、「クラウドサービス事業者とのやり取りに工数がかかる」(46.5%)、「社内の利用部門とのやり取りに工数がかかる」(41.7%)が挙げられました(複数回答)。
多くの企業でセキュリティ評価にセキュリティチェックシートが用いられているものの、その情報の精度や工数に課題を感じている人が多いことが分かります。
【調査概要】
・調査方法:インターネット調査
・調査時期:2023年7月
・調査対象:全国、男女、20~60代、従業員数が1,000名以上の会社に勤める社内情報システム担当者、300名
(調査機関はシグナルリサーチに委託)
※小数点第二位を四捨五入しているため、合計が100%にならない場合があります。
※本調査を引用される際には、「Assured調べ」と必ずご記載ください。
SaaS/ASPなどのクラウドサービス利用に対するセキュリティ不安が高まる一方で、それらのセキュリティ評価対応に課題を抱えているお声を多く頂戴しています。
この度Assuredは、社内のクラウドサービス利用数が多いと同時に、一般的にリスクマネジメント水準が高いとされる大手企業の情報システム部門およびセキュリティ担当者の方を対象に、セキュリティ評価の実態を調査いたしました。
その結果、多くの企業がクラウドサービスのセキュリティリスクを重要視し、セキュリティ評価を行っている一方で、自社の評価に課題を抱えていることが分かりました。
特に、自社のセキュリティ評価で、リスクを網羅的に確認できているかわからない/適切に評価出来ているか不安、といった課題が三分の一以上の企業で回答があったということは、安心してクラウド活用を推進していくうえで深刻な課題であると捉えています。
Assuredはそのような課題に対して、セキュリティの専門知識を持つ専門家による第三者評価情報をデータベースに集約し、プラットフォーム上で提供することで、高精度で効率的なセキュリティ評価を実現しています。
今後も、社会全体での安心・安全なクラウド活用を支えられるよう、サービス向上に努めてまいります。