【2024年セキュリティレポート Vol.1】クラウドサービス事業者のセキュリティ未対策項目TOP10
2024年におけるクラウドサービス(SaaS)事業者のセキュリティ対策について、実施率が低い項目TOP10をまとめ、各項目について解説します。
※本調査を引用される際には、「Assured調べ」と必ずご記載ください。
<2024年のクラウドサービス事業者のセキュリティ未対策項目TOP10>
調査背景
Assuredはクラウドサービス(SaaS)のセキュリティ対策状況を第三者評価するプラットフォームです。専門知識を有するセキュリティ評価チームがSaaSのセキュリティ対策状況を調査し、スコアリングするとともに、その結果をデータベースに集約し、利用企業におけるサイバーセキュリティリスク管理を支援しています。
この調査には、ISO/IEC 27001・27017、NIST SP800-53、総務省・経済産業省のガイドライン、各種業界別ガイドライン等の国内外のガイドラインやフレームワークに基づく120問以上の項目からなるAssured独自の調査フォーマットを用いています。
Assuredでは、昨年より調査結果について年次発表しています。本年もAssuredのセキュリティ調査の結果からSaaSのセキュリティ対策状況をまとめ、発表します。
全体傾向(スコアサマリ)
Assuredでは、各種ガイドラインや事例等をもとに、一般的に期待されるセキュリティ対策(※1)が実施されていることの目安として、スコアが70点程度になるよう設問設計・配点設計をしています。2023年の調査では70点以上のSaaSは69.5%でしたが、2024年の調査では71.5%となりました。
70点以上の分布をみると、特に70点〜85点未満のゾーンが占める割合が増加しています。これはSaaS全体でセキュリティ対策が進んでいることを示しており、利用企業にとっては好ましい傾向です。
一方で、70点を下回るSaaSが3割程度あるという分布状況は昨年から大きく変わっていません。利用企業側は3割程度のSaaSが標準的なセキュリティ対策状況を下回る可能性がある、ということを念頭に利用検討をする必要があります。
また、85点以上のスコアの割合が微減しています。これは、新たに追加されたAssuredの設問項目や実施頻度が低下してしまったことでスコアが下がったものと考えられます。利用企業は、特に高いセキュリティが要求される場合は、企業が期待するセキュリティ対策が実施されているのか、内容と実施頻度の両面で確認・検討が必要です。
※1: 組織的な対策、情報資産の管理、アクセスコントロール、暗号化、バックアップ、脆弱性管理、モニタリング(監視)、レジリエンス対策、監査等
セキュリティ未対策項目TOP10
Assuredのセキュリティ調査に対するSaaS事業者の回答結果から、実施率が低い10項目について解説します。全体的にみると次の3つのポイントに関連する未対策項目が見られます。
- SaaSに対する高度な攻撃に対するセキュリティ強化策
- リスクベース認証
- セキュリティポスチャアセスメント
- ペネトレーションテスト
- SaaSのレジリエンス対策
- 定期的な訓練によるBCPの実効性確認
- 暗号鍵のモニタリングや更新・廃棄(データの可用性)
- 利用企業のデータの適正管理
- ユーザー要望による預託データの削除処理
- アクセス権限仕様変更時の事前通知
いずれの対策もSaaS事業者にとっては負担となりますが、昨年よりも実施率が増加している項目もあり、傾向としてはユーザーがより安心してSaaSを利用できる環境整備が進んでいます。
一方で、高度なセキュリティ対策やレジリエンス対策に関する未実施等、業務の中核アプリケーションとしてSaaSを利用する場合には心配になる項目もあります。
また、データの管理等は利用企業側でも注意を払う必要があることも見えてきています。したがって、利用するSaaSがどのようなセキュリティ対策が取られているのか確認すること、企業内での利用・運用ルールを整備することの2点が重要な点となります。
Assured セキュリティエキスパート 真藤 直観による各項目の解説
1位/2位 リスクベース認証の導入
昨年に比べて、パスワードにくわえてスマホアプリ(Authenticator)等も用いる多要素認証(MFA)の導入やSAML認証等によるIDaaS連携が広まってきており、認証強度という点では強化されている傾向です。
しかしながら認証情報の窃取による不正ログインの事例が引き続き発生しています。特に内部アカウントの認証情報が利用されるケースが目立っており、MFAに加えてリスクベース認証を用いることで、こうした不正アクセスのリスクが低減されると考えられます。また、利用企業側においてもリモートアクセスが標準的になった現在では、リスクベース認証は検討が必要な対策の1つと考えられます。
3位/6位 設定診断(セキュリティポスチャアセスメント)の実施とペネトレーションテストの実施
Assuredでのセキュリティ診断に関する調査項目は、大きくプラットフォーム(インフラ)診断、アプリケーション診断、ペネトレーションテストとわかれています。
3位のセキュリティポスチャアセスメントの実施状況は、インフラ等の設定ミスによる情報漏洩が発生していることをうけ、2024年からインフラにおける脆弱性診断とは分離して明示的に確認している項目です。
SaaS事業者の大部分はAWS等のIaaSを利用しており、SaaSの安全性、特にデータ管理の観点から、システムの構成や設定等の管理が重要になっています。
また、ペネトレーションテストに関しては、昨年は25%程度の実施率でしたが、本年は40%を越えてきています。
しかしながら、プラットフォームへの脆弱性診断(実施率63%)、アプリケーションへの脆弱性診断(同73%)に比べると、まだ実施割合は低く、標準的な対策の1つとして今後普及していくことが期待されるとともに、利用企業にとってもSaaS選定のポイントになると想定されます。
4位 災害や大規模なシステム障害に備えたBCPと定期訓練の実施
(オンプレシステムと比較して)利用しているSaaSに対してどの程度の可用性を求めるのか、というのは難しい問いになりますが、一般に利用企業にとっては業務の中断、データの保全といった観点で高い関心が寄せられる項目です。調査の結果、BCP自体を策定していないケースは少数(約15%)でしたが、BCPにおいてもっとも重要なのは実効性の確保であり、そのためには定期的な訓練が不可欠です。
5位 暗号鍵の利用に関するモニタリングや更新・破棄
技術的な措置として通信の暗号化(TLS)やデータの暗号化は大多数のSaaSで実装されていますが、鍵管理に関する対策については実施割合が低くでています。特に、モニタリングや更新・破棄については実施割合は全体の35%程度となっており、鍵の流出のほか危殆化した鍵の継続利用等のリスクが考えられます。また、実際のサービスでは相当数の暗号鍵と証明書が運用されており、安易な鍵操作による危殆化や喪失といった事故を防ぐため、運用マニュアルを整備すること(※2)が重要です。
※2: Assuredでは暗号化に関するガイドラインとしてCRYPTRECを参照しています。
7位 ユーザー要望による預託データの削除
預託データが利用終了後も残存するという回答をしたSaaSは全体の13%となっており、データそのものが残るリスクは限定的ですが、バックアップ期間や様々な利用企業の要望等が考慮された結果、利用終了後、数か月から1年程度データが残存するケースが見られます。また、2割強のSaaSでは削除等のデータの取り扱いが規約等で明確になっていないという結果になっています。
利用企業では、開始時にはSaaSの削除ポリシーや削除処理の契機(自動なのか、要望によるのか)等を確認し、利用契約終了前の重要な再確認事項として引き継ぐ必要があります。
8位/9位 インフラへのリモートアクセスや管理画面へのアクセス承認やアカウントロック
インフラへのアクセスについて事前申請制を採用しているSaaSは半数を割っています。またこれに関連する項目として、インフラやその管理画面へのアクセスの監視を実施している割合は66%程度にとどまっています。MFA導入や認証失敗時のアカウントロック等の認証の強化に加えて、潜在的な攻撃の検知や攻撃イベントの検知精度の向上については改善余地が残っているといえます。
10位 アクセス権限仕様変更時の事前通知
アクセス権限の仕様変更により、個人情報や機密情報へのアクセス可能者が予期せず増えたり、ユーザーの業務変更につながることが考えられます。どのような通知が行われるのか、というのは利用企業が事前に把握すべき事項の1つです。
【調査概要】
・調査件数:1049件
・調査日:2024年12月5日
・調査対象:Assuredのセキュリティ調査に回答済みのクラウドサービス事業者
※小数点第二位を四捨五入しているため、合計が100%にならない場合があります。
※本調査を引用される際には、「Assured調べ」と必ずご記載ください。
