【2023年セキュリティレポートVol.3】海外SaaSと国内SaaSのセキュリティ対策比較

2023年における海外のクラウドサービス（SaaS等）と国内のクラウドサービスのセキュリティ対策状況を比較し、その傾向を解説します。
※本調査を引用される際には、「Assured調べ」と必ずご記載ください。
※海外、国内サービスは、準拠法が日本法かその他の国であるかで区分しています。海外サービスは、主に日本国内の企業が利用を検討している、日本国内に展開するサービスです。

調査背景

世界中でサイバー攻撃の脅威が拡大するなか、日本国内のセキュリティ意識はデジタル先進国の各国から遅れをとっている状況です。アメリカとの比較では、サイバーセキュリティ対策への投資額が5,000万円以上の企業がアメリカは71％であるのに対し、日本は32％という調査結果（※）もあり、セキュリティ投資が十分でない状況が伺えます。
そこで、SaaS/ASPなどのクラウドサービスのセキュリティ対策状況を第三者評価するプラットフォーム「Assured」は、2023年のセキュリティトレンド総括として、海外／国内サービスのセキュリティ対策状況を比較し、その傾向を発表します。
※　出典：IPA「企業のCISOやCSIRTに関する実態調査2017-調査報告書-」

結果概要

＜第三者認証取得＞
国内でSOC2を取得しているサービスは8.6%のみ。ISO/IEC 27001は海外、国内ともに半数以上が取得

国内サービスにおいては、ISMS（ISO/IEC 27001）を取得している割合が60.2％と、海外サービスの50.7％よりも高く、反対に、SOC2を取得している割合が8.6％と、海外の59.2％と比較して著しく低いことが分かりました。
SOC2は、一般的にクラウドサービスプロバイダーやデータセンターの事業者を対象に、米国公認会計士協会（AICPA）が定めたトラストサービス規準（Trust Service Criteria）に従って、事業者の扱うシステムに対するセキュリティが評価されるものです。「政府情報システムにおけるクラウドサービスの適切な利用に係る基本方針」（https://cio.go.jp/sites/default/files/uploads/documents/cloud_policy_20210330.pdf）でも、第三者による認証や各クラウドサービスの提供している監査報告書を利用することの重要性が記されており、日本国内でもSOC2への対応が推奨される動きが出始めています。

＜預託データのアクセス管理＞
預託データへのアクセスのモニタリング未実施は国内12.5%に対し、海外は3.6％。特権アカウント利用のモニタリング未実施は国内は11.1％、海外は2.4％にとどまる

預託データへのアクセスや特権アカウントの利用に対するモニタリングは、海外サービスの方が徹底されている傾向です。預託データへのアクセスログのモニタリングについては、海外では95.1％（文書化や定期的な見直しの有無に関わらず）でほぼ必須の対策になっているのに対し、国内は86.2％にとどまり、1割以上が未実施です。また、特権アカウントを用いた情報資産へのアクセスの記録、モニタリングについては、海外サービスは95.7％の実施、国内は87.6％となりました。
これらの管理・統制が求められるSOC2の取得率が、海外サービスの方が多いこともあり、預託データや特権アカウントの管理・統制面は、海外サービスの方が徹底した対応がなされている傾向があることが伺えます。

＜アカウント認証＞
多要素認証の実施率、海外は86.1％の一方、国内は53.9%。国内はIPアドレスによる制限が多数

アカウント認証においては、国内サービスはIPアドレス制限の実施率が67.1%と海外サービスの40.4％と比較しても多い結果となりました。一方で、多要素認証等の対策は約半数の46.1％が実施できていないことが明らかになりました。海外サービスは多要素認証等の対策ができている割合が86.1％と高く、これらの対策が標準になっていることが伺えます。
総務省「クラウドサービス提供における情報セキュリティ対策ガイドライン」（https://www.soumu.go.jp/main_content/000771515.pdf）に記載のベストプラクティスでも、アクセス制御となりすまし対策として高い機密性、完全性が求められるサービスでは多要素認証の採用が推奨されています。

＜預託データの暗号化＞
データベースやファイルの暗号化は海外サービスは9割以上が実施、一方国内サービスは4つに1つが未実施

預託データの暗号化は海外サービスでは93.3％の実施率で、アメリカのNISTのCybersecurity FrameworkやSP800-53の要求事項にもあることから、ほぼ必須の対策となっていることが伺えます。一方で、国内サービスでは25.6％が未実施と、4つに1つのサービスで暗号化の実施が出来ていません。サービスの性能への影響を懸念して対策していなかったり、利用しているIaaS等の仕様を把握していなかったりすることが実施率が低い理由になっていると想定されます。

＜バックアップ対策＞
バックアップは取得しているものの、国内サービスは遠隔地保管やリストアテストの実施率が低い傾向

昨今被害が拡大しているランサムウェア対策としても、被害を最小化するためにバックアップ対策は重要な施策です。国内サービスにおいては、バックアップ自体は取得しているものの、遠隔地保管は52.9％（海外サービス70.0%）、リストアテストの実施率は43.8％（海外サービス60.7％）と、いずれも海外より低い結果となりました。警察庁のレポート（※3）では、バックアップから完全に復元できた割合は約20％とされています。バックアップを取得するだけでなく、実際にリストアができるようにこれらの対策を実施することが重要ですが、国内における実施率は低い結果となりました。
※3　出典：警察庁「令和５年上半期におけるサイバー空間をめぐる脅威の情勢等について」（https://www.npa.go.jp/publications/statistics/cybersecurity/data/R05_kami_cyber_jousei.pdf）

＜外部攻撃対策＞
ペネトレーションテストの実施率は海外では約半数にのぼるが、国内は約2割。サーバーへのウイルス対策ソフト導入は国内サービスが遅れをとる

実際にシステムなどへの侵入を試みることでセキュリティ対策を評価するペネトレーションテストは海外サービスでは約半数におよぶ44.3％が実施しており、海外では標準になりつつあることが伺えます。一方、国内で実施できているのは22.2％のみ、約8割のサービスで未実施の状況で、海外のセキュリティ標準から遅れをとっています。
また、サーバーへのウイルス対策ソフトの導入率も国内サービスの方が低く、海外では84.9％の導入率に対し、国内は63.3％にとどまっています。サービスの性能への影響を懸念して対策していなかったり、利用しているIaaS等の仕様を把握していなかったり、またLinuxにはウイルス対策が不要であるといった認識により対策率が低くなっていると想定されます。

＜監視＞
セキュリティ対策に関係する各種監視は海外サービスの方が実施率が高い

内部不正対策やサイバー攻撃、リモートアクセスといったセキュリティ対策に関係する監視は、「社内ルール違反等の挙動監視」（実施：国内48.9％／海外74.6％）、「内部および外部からの不正アクセスや不正利用の監視」（実施：国内73.3%／海外89.7％）「サイバー攻撃の兆候監視」（実施：国内63.7％／海外87.9%）、「不正なネットワークアクセスやリモートアクセスの監視」（実施：国内62.6％／海外78.8％）と、すべて国内サービスの方が実施率が低く、海外サービスの実施率が高い傾向にありました。

＜アクセス制限＞
IPS/IDS、WAFの導入は、海外に比べると国内では進んでいない

ネットワーク/サーバーへの異常な通信や不正なアクセスを検知・防御するシステムであるIPS/IDSは海外サービスでは88.0％で導入されていますが、国内サービスでの導入率は68.9％にとどまっています。DoS/DDoS攻撃などのOSやWebサーバー等の脆弱性を突いた攻撃や、負荷を掛ける攻撃への対策として有効なものであり、すべてのサービスで導入が推奨されます。

また、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護するWAFにおいても、海外サービスでは85.3%で導入されていますが、国内サービスでの導入率は73.7％にとどまっています。

＜仕様変更の通知＞
アクセス権限設定の仕様変更通知は、国内サービスは43.2％に対し、海外サービスは24.8％にとどまる

仕様変更についての事前通知は国内サービスの方が43.2％と、海外サービスの24.8％と比較して高い傾向にありました。海外サービスを利用する場合は、仕様変更が事前に通知されないことが多いので、仕様変更等の利用サービスに関する情報を把握するための社内体制や仕組みを整えておく必要があります。

解説・考察

＜本調査結果について＞

Assuredでセキュリティ評価を実施した海外サービスは、主に日本企業が導入を検討しているサービスとなるため、グローバルに展開するサービスが多いという前提で、今回の調査結果を考察すると、これらの海外サービスはセキュリティを重要視しており、SOC2の取得が多いことからわかるように組織のセキュリティ成熟度が高く、セキュリティ投資が必要なIPSやIDS、WAFの導入やペネトレーションテストの実施率も高いことから、セキュリティ対策が徹底されていることが分かります。

グローバルに展開する大手の海外サービスはSOC2をはじめとした各種認証を取得しセキュリティに関する取り組み内容を開示しているため、個別のセキュリティチェックには対応せず、開示情報の参照を促されることが国内サービスと比較して多い傾向にあります。その場合、利用企業がクラウドサービス事業者が開示しているセキュリティ情報を確認し、セキュリティ評価を実施する必要があり、利用企業側に開示情報を読み解きセキュリティ評価を実施する体制や仕組みが求められます。こうした場合にもセキュリティ評価に役立てるよう、Assuredでは公開情報からセキュリティ対策状況を分析するウェブ評価機能や、規約などをAI分析で読み解く機能も提供しています。

一方、国内サービスにおいても、クラウドサービス事業者が、積極的にセキュリティ情報開示を行うと共に、Assuredも活用いただきながら、自社サービスのセキュリティ対策を評価し、セキュリティ水準向上に繋げていただきたいと考えています。

＜2023年の総括、および、2024年の動向予測＞

2023年はChatGPTが大きな話題となり、他の生成AIや生成AIを組み込んだSaaS等のクラウドサービスが多く登場しました。当初、セキュリティ等への懸念から生成AIの業務利用に二の足を踏む企業が多かった印象ですが、活用事例が多数公表されるとともに生成AIのセキュリティ対策が向上した結果、業務への利用が加速しました。
2024年は引き続き生成AI関連のクラウドサービスが様々登場し、玉石混淆の様相を呈することが想定されます。新規事業や事業強化にクラウドサービスを活用したものの、そのクラウドサービスでセキュリティインシデントが発生した場合、事業への影響は避けられません。そのため、安心して利用できるクラウドサービスを選定することは事業継続にとって重要な要素となります。安全性とスピードを両立させた事業推進のため、利用するクラウドサービスのセキュリティ評価はより一層必要不可欠となるでしょう。

Assuredは海外／国内サービス含め、安心してクラウド活用を推進していけるよう、今後もサービス向上に努めてまいります。

【調査概要】
・調査件数：1036件
・調査日：2023年12月7日
・調査対象：Assuredのセキュリティ調査に回答済みのクラウドサービス事業者
※小数点第二位を四捨五入しているため、合計が100%にならない場合があります。
※本調査を引用される際には、「Assured調べ」と必ずご記載ください。