【2024年セキュリティレポート Vol.2】クラウドサービス事業者におけるサプライチェーンセキュリティ対策実態
2024年におけるクラウドサービス(SaaS)事業者のセキュリティ対策のうち、特にサプライチェーンリスクとして関心が高い観点についてまとめ、発表します。
※本調査を引用される際には、「Assured調べ」と必ずご記載ください。
<結果サマリー> |
調査背景
企業へのサイバー攻撃の結果、その企業のみならず取引先へも影響が波及する、もしくは取引先企業を狙って攻撃を仕掛けるというサプライチェーン攻撃が大きなリスクとして注目されています。SaaS事業者も利用企業にとってはサプライチェーンの一部であり、SaaS事業者からさらにその先の委託先も存在します。また、SaaSはサービス利用規約をもとにした関係性であることが多く、業務委託契約、購買契約にもとづくサプライチェーンとは異なるリスクもあります。
そこで、2024年のSaaS事業者のセキュリティ対策のうち、特にサプライチェーンリスクとして関心が高い観点についてまとめ、発表します。
調査結果
SaaS事業者のセキュリティガバナンス体制整備が進む
サプライチェーンリスクの対策を進める場合、自社のみならず取引先の情報セキュリティが課題となるため、取引先のガバナンス体制が論点となります。
2023年の同調査と比較すると体制の整備が進んでいる結果となりました。組織的な取り組みは年単位の時間が必要となることもあるため、多くのSaaS事業者が継続して体制整備に取り組んでいることが伺えます。
情報セキュリティ体制に関して外部に委託する業務と役割等の定義が他よりも低い理由としては、SaaS事業者自身で完結するケースが多いことも考えられますが、SaaS事業者が利用するIaaSから提供されるセキュリティサービスを受動的に利用しているだけ、責任範囲の確認が行われていない、等の可能性があります。
8割を超えるSaaS事業者で、コーディングルールやレビュー等が行われている一方、脆弱性への未対応は大きなリスクとなる懸念も
近年、米国の大統領令(EO14028)に代表されるように、サプライチェーンリスクの高まりからセキュリティ的に安全な製品・サービス開発に注目が集まっています。開発段階からの安全性確保には多くの観点(※1)がありますが、ここでは基本的な取り組みとしてセキュアコーディングや脆弱性の把握状況について調査しています。
8割を超えるSaaS事業者で、コーディングルールやレビュー等が行われています。また、大きなセキュリティホールや不正コードの挿入等によりサプライチェーンリスクが高まっているOSSについても、一般企業に比べ高い割合で把握されていると思われます。
こうした点からはセキュアなサービスを開発するSaaS事業者の姿勢が伺えます。
一方、EOLや脆弱性の把握割合は75%、セキュリティパッチ適用は8割程度にとどまっており、脆弱性への未対応がもたらす影響を考えると、サービスの安全性が継続されないリスクがあります。利用企業ではSaaS利用に際して、どのように開発段階におけるセキュリティ管理を行っているか確認する必要があります。
※1: NIST SP800-218 “Secure Software Development Framework (SSDF)” 等
セキュリティ診断の実施率は大きく向上しているものの、利用企業は診断内容や頻度について定期的に把握することが重要
Vol.1で触れたようにSaaS事業者では設定診断の実施割合が低い状況にありますが、アプリケーション、プラットフォーム(インフラ)の診断はサービスに依らず標準的に実施するものになりつつあると言えます。Assuredの調査事項全体でみてもこのセキュリティ診断は実施率が大きく伸びた領域の1つです。こうした診断はセキュリティレベルの向上に直結するためよい傾向と言えます。
一方で、実施率はあがっていますが、未実施のSaaSも存在しています。アプリケーションやプラットフォームそれぞれについて実施していないSaaSも3割〜4割程度存在しています。
こうした脆弱性診断や第三者によるペネトレーションテストは時間や費用がかかるため、優先順位が下がってしまう恐れがあることから、利用するSaaSがどのような診断を行っているのか、またその頻度について、利用前のみならず利用期間中も定期的に把握する必要があります。
バックアップ対策の実施割合は向上しているものの、さらにランサムウェア耐性のある環境整備が望まれる
バックアップに関する調査の各項目において、昨年より実施割合が向上しています。特に、論理的分離環境やオフライン・不変ストレージの利用が進んでいます(昨年は41.6%)。
これはランサムウェアの脅威を反映したものと考えられます。しかし、全体では半数程度にとどまっており、昨今のランサムウェアの被害、SaaSへの感染時の影響を考えると、さらにランサムウェア耐性のあるバックアップ環境がさらに整備されることが望まれます。
リストアテストについても同様です。バックアップの信頼性を検証・確保するためには必須の項目であり、バックアップ取得とセットで実施するべきものです。
障害時やパフォーマンス低下時の利用企業向け通知は8割程度、アクセス権限設定の仕様変更時の事前通知は5割以下
利用企業向けの通知状況についても前年から改善が見られます。しかし、細かく見ていくと、障害時やパフォーマンス低下時の通知については8割程度にとどまっており、コンプライアンスの観点からも不安を感じる利用企業もあると思われます。
また、通知手段がサービスページでの掲示にとどまるというケースがあり、その場合は利用企業が能動的に情報を取得する必要があります。これはオンプレでのシステム運用とは大きく異なる点です。利用企業は報告・通知の方式とその対象・イベントなどをサービスレベルの観点で注目すべきです。
Assuredセキュリティエキスパート
真藤 直観による総括
個別の調査結果としてSaaSにおけるガバナンス、開発、セキュリティ診断、バックアップ、障害時等の顧客通知を見てきましたが、全体的に昨年に比べてセキュリティ対策状況は向上しています。
さまざまな事例やリスクに対応してきていることの表れですが、各対策を実施していないSaaSがあることも事実です。また、より高度な攻撃への対策については不十分な点も伺えることから、利用企業のリスク管理としては次のような認識を持つべきです。
- SaaS利用状況を把握していないこと自体が高リスクな状態にあること
- 利用企業が期待するセキュリティ対策を満たさないSaaSが2~3割存在すること
- SaaSのセキュリティ対策は変化するものであり、総体としては向上しているとしても、利用企業の要請に合っているか定期的に確認する必要がある
2025年以降もSaaSセキュリティ対策は向上すると予想されますが、同時にSaaS利用が拡大していることから、利用企業がより高度な対策を求めるケースが増えると思われます。
また、SaaSのほとんどはIaaS上に構築されており、そうしたIaaSの一部では、より高度なセキュリティ対策が追加サービスとして提供されていますが、利用には一定のコストが発生します。あわせてセキュリティ対策を推進する人的コストも無視できません。このような理由からセキュリティ対策が先行する事業者と相対的に遅れる事業者の隔たりが大きくなることが想定されます。
したがって、利用企業がSaaSのセキュリティ対策を適切に把握することや、預託データ等の重要性を考慮したリスク管理を行うことが一層重要になると思われます。
Assuredでは引き続きSaaS利用の促進や安全なビジネス環境にむけ、サービス向上に取り組んでまいります。
【調査概要】
・調査件数:1049件
・調査日:2024年12月5日
・調査対象:Assuredのセキュリティ調査に回答済みのクラウドサービス事業者
※小数点第二位を四捨五入しているため、合計が100%にならない場合があります。
※本調査を引用される際には、「Assured調べ」と必ずご記載ください。
