【2023年セキュリティレポート Vol.2】SaaS事業者のセキュリティ未対策項目 TOP10
2023年におけるクラウドサービス(SaaS等)事業者のセキュリティ対策について、実施率が低い項目TOP10をまとめ、各項目について解説します。
※本調査を引用される際には、「Assured調べ」と必ずご記載ください。
<2023年のクラウドサービス事業者のセキュリティ未対策項目TOP10>
調査背景
Assuredは、SaaS/ASPなどのクラウドサービスのセキュリティ対策状況を第三者評価するプラットフォームです。専門知識を有するセキュリティ評価チームが、ISO/IEC 27001・27017、NIST SP800-53、総務省・経済産業省のガイドライン、金融・医療業界別ガイドライン等、国内外の主要なガイドラインやフレームワークに基づいた100門以上の項目からなるAssured独自の調査フォーマットを用いて、クラウドサービスのセキュリティ対策状況を調査し、その評価結果をデータベースに集約することで、高精度なセキュリティ評価を支援しています。
この度、Assuredのセキュリティ調査に対するクラウドサービス事業者の回答結果から、実施率が低い対策上位10項目をまとめ、2023年におけるクラウドサービスのセキュリティ対策状況を発表します。
全体傾向:2023年のクラウドサービスセキュリティスコア分布
Assuredセキュリティ評価責任者 早崎 敏寛による各項目の解説
1位/2位/4位:「アクセス制御」デバイス認証やMACアドレス制限等によりデバイスを制限
アクセス制御のためのアカウント認証として実施されているデバイス認証やMACアドレス制限の実施率が低い結果となりました。クラウドサービスの用途にもよりますが、アクセス制御においては、多要素認証が重要な対策です。そのため、本対策が実施されていない場合でも、多要素認証が実施されていれば問題ないケースが多いと考えられます。
3位:「バックアップ」バックアップデータを論理的に分離した環境やオフラインストレージ、不変ストレージに保存
バックアップ対策は、昨今脅威が拡大し続けているランサムウェア攻撃への対策の1つです。特に、万が一ランサムウェア攻撃を受け、データを暗号化されてしまった場合に、バックアップデータも暗号化されていると復旧が難しくなります。論理的に分離した環境やオフラインストレージ、または不変ストレージにバックアップデータを保存しておくことで、バックアップから適切に復旧させることが可能となります。しかしながら、本対策まで実施しているクラウドサービスは少なく、対策の強化が推奨されます。
5位:「暗号化」鍵の利用をモニタリング
クラウドサービス事業者のうち半数の50.5%は鍵管理システムを利用していますが、利用のモニタリングまでできているのは3割に満たない結果となりました。鍵管理システムを利用することで、鍵の利用履歴が記録されますが、利用状況をモニタリングしないと不適切な利用に気づくことができないためモニタリングは重要です。
6位/9位/10位:「運用のセキュリティ」脆弱性診断の実施
ペネトレーションテストやプラットフォーム診断、アプリケーション診断を含め実施率は低い傾向です。脆弱性診断の実施に費用や時間がかかることが、脆弱性診断の実施率が低い要因であると考えられます。サイバー攻撃の主な要因はシステムの脆弱性なので、サイバー攻撃のリスクを低減するために、脆弱性診断を実施し脆弱性を発見し対処することは必要不可欠です。
7位:「サービスレベル」稼働実績を開示
クラウドサービス事業者のうち半数の53.6%は稼働目標を定めていましたが、稼働実績を開示しているのは26.8%にとどまる結果となりました。SaaSはパブリッククラウド上に構築されることが多く、パブリッククラウドの稼働実績に左右されたり、低料金や可用性が高く求められないクラウドサービスの場合は冗長化構成にしないなど、稼働実績が必ずしも高くないケースがあると想定されます。その場合、開示した稼働実績によって利用者に不安をあたえることを懸念して、稼働実績を開示しないことが考えられます。
8位:「暗号化」預託データに関して、脆弱性のあるプロトコルやアルゴリズムの使用を禁止
多くのクラウドサービス事業者でデータの暗号化はできているものの、脆弱性のある暗号化方式の禁止まで対策できているクラウドサービスは少ないことが分かりました。もし情報漏えいが発生しても、適切な評価機関等により安全性が確認されている電子政府推奨暗号リスト等に掲載されている暗号技術で暗号化されている場合は、第三者による暗号解読リスクを低減できるため、適切な暗号化を実施することが求められます。
解説・考察
システム開発・保守の対策、通信の暗号化、端末へのウイルス対策ソフトの導入など、基本的なセキュリティ対策や個人情報保護法をはじめてとした法令対応はほとんどのクラウドサービス事業者が対応できています。
一方、今回の調査で未対策項目として挙がった項目は、クラウドサービス事業者にとって時間と費用がかかる対策でもあることから、実施率が低い結果となったことが伺えます。クラウドサービスを利用する企業は、利用時にこれらの対策が実施されているかどうかを確認し、クラウドサービス事業者のセキュリティ対策状況を把握したうえで、リスクを許容できるかを評価して利用可否を判断する必要があります。
セキュリティ機能が充実していても、クラウドサービスを利用する部門のユーザー(従業員や組織)が、その機能を認識し、利用しないと意味がありません。例えば、多要素認証が利用できるのに、多要素認証の設定を有効にしないといった事態が発生しないように、利用部門のユーザー向けに利用時のルールやセキュリティ設定についてIT、情報システム部門などが教育するなどの対策を行うことが重要です。
【調査概要】
・調査件数:1002件
・調査日:2023年12月7日
・調査対象:Assuredのセキュリティ調査に回答済みのクラウドサービス事業者
※小数点第二位を四捨五入しているため、合計が100%にならない場合があります。
※本調査を引用される際には、「Assured調べ」と必ずご記載ください。