【2024年上半期セキュリティレポート Vol.1】SaaS事業者のサプライチェーン管理の実態
2024年上半期におけるクラウドサービス(SaaS等)事業者のサプライチェーン(委託先)管理の実態について発表します。
※本調査を引用される際には、「Assured調べ」と必ずご記載ください。
<結果サマリー> |
調査背景
〜クラウドサービス利用企業は、サービスを提供する事業者のサプライチェーン(委託先)管理状況の把握が必要〜
昨今、サプライチェーンを狙ったサイバー攻撃が拡大しており、多くの企業に深刻な被害をもたらしています。IPAが公開した「情報セキュリティ10大脅威 2024」(※1)でも、「サプライチェーンの弱点を悪用した攻撃」が2位に挙がり、6年連続6回目のランクインとなるなど、サプライチェーン(委託先)管理の重要性の高さが伺えます。
サプライチェーンには、自社の業務やシステム開発、保守運用における「業務委託先」だけでなく、企業の情報資産(データ)を預託する「クラウドサービス(事業者)」も含まれます。さらに、サービスを提供する事業者も外部委託先にシステム開発や保守運用を委託している場合があります。こうした構造を踏まえ、自社の情報がサプライチェーン上のどこでどのように扱われ、どのように管理されているかを把握し、安全性を確認することが重要です。
出典:IPA「クラウドサービスのサプライチェーンリスクマネジメント調査 調査報告書
従来の業務委託先については、個別の委託契約を締結するためセキュリティに関する要求事項等を明示的に伝えることができ、委託先もそれらに対して役務や成果物を提供します。そのため、サプライチェーン管理を含め自社のセキュリティガバナンスを比較的効かせやすい関係性となっています(上図 ※2)。
一方、クラウドサービスは、あらかじめ事業者が用意した共通の利用規約に従ってサービスが提供されるため、個社別のセキュリティガバナンスを効かせにくい構造となっています。サプライチェーン管理についても例外ではなく、IPAの調査結果(※3)でも「委託先情報、委託先に対する管理状況」は「問い合わせないと得にくい情報」に分類されており、利用者側でサービス契約前に問い合わせ等を行い、状況を個別に確認することが推奨されています。
出典:IPA「2022年度 クラウドサービス(SaaS)のサプライチェーンリスクマネジメント実態調査概要説明資料」
そこで、SaaS/ASPなどのクラウドサービスのセキュリティ対策状況を第三者評価するプラットフォーム「Assured」は、2024年のセキュリティトレンドである「サプライチェーン管理」に対するクラウドサービス事業者の主な対策実態をAssured独自データ(Assuredが2024年上半期にセキュリティ評価を実施したクラウドサービス:878件が対象)からまとめ発表します。
調査結果
①システム開発や保守・運用に関するサプライチェーンの管理状況
約6割のクラウドサービスが開発や保守・運用業務を外部委託。その内約2割は委託先と「セキュリティ対策」や「情報の削除」を合意せず
通常の企業と同様に、クラウドサービス事業者もクラウドサービスを提供するうえで、システムの開発や保守・運用を外部委託することは一般的であり、本調査でも57.9%のクラウドサービスが外部委託先を利用していました。また39.4%が、利用者がクラウドサービスに預託するデータを外部委託先でも取り扱っていました。
その中で、外部委託先に対して「セキュリティ対策」や「情報の消去」を合意していないクラウドサービスが約15%~20%存在していることが明らかになりました。これらについて明示的な合意がない場合、外部委託先のベストエフォートでの実施となり、クラウドサービス事業者自体のセキュリティ対策が十分に実施されていても、外部委託先経由で情報漏えいやサービス停止等のインシデントが発生するリスクが高まります。機密性や重要度の高い情報を預託する必要があるクラウドサービスの利用を検討する際には、上記の観点で事業者に対し事前に確認することを推奨します。
一方、委託先各社の統制状況やシステム構成、利用するサービス・ツール等は時間とともに変化する(ポジティブ・ネガティブの両方を含む)ことが一般的です。そのため、当初外部委託先と合意した内容が適切に履行されているかの確認や、外部委託先に対する定期的な評価を実施することもサプライチェーン管理の観点で重要なポイントです。
本調査では、8.7%が事前の合意内容について外部委託先の履行状況を確認しておらず、10.8%で外部委託先の定期的な評価を実施していないことが明らかになりました。
このように一部のクラウドサービスでは、委託先管理が不十分な状況であるため、利用者は、クラウドサービス(特に機密性や重要度の高い情報を預託する必要がある場合)を「サプライチェーンの一環」として捉え、サービス本体のセキュリティ対策だけでなく、委託先の適切な管理が実施されているかまで事業者に対して確認することを推奨します。
②日本国外のサプライチェーンの管理状況
預託データが海外(委託先含む)からアクセスされるクラウドサービスは約2割。海外へ個人情報を提供する3サービスに1つは、再委託先の監督や各措置の実施を合意していない
クラウドサービス利用時には「日本国外に預託データが保存されるか」「日本国外(委託先等)から預託データにアクセスされるか」という「カントリーリスク」についても注意が必要です。預託データが日本国外に存在する場合、情報の取り扱いは現地法に従うため想定外の「預託データの開示」や「利用停止(ロックダウン)」が発生するリスクが伴います。本調査では、約2割のクラウドサービスで「預託データが他国に保管される」または「預託データが他国からアクセスされる」状況であることが判明しました。
今回はその中でも特に、「委託のために海外へ個人情報を提供しているクラウドサービス」に対象を絞り、クラウドサービス事業者が(海外)委託先との間で合意している内容を確認しました。
サプライチェーン管理において「再委託先」の管理は留意すべきポイントですが、3割以上で、さらに他の第三者へ委託する場合の委託先(再委託先)の「監督」や「各措置の実施の確保」を合意していないことが明らかになりました。また約1割で、そもそも(海外)委託先と何も「合意していない」ことが分かりました。
このようなクラウドサービスにおいては「誰がどこでどのように自社の預託データ(個人情報含む)を取り扱っているのか」が不透明なため、適切な管理が行き届かない可能性が高まり、セキュリティリスクが相対的に高くなります。
クラウドサービスを利用する際には「カントリーリスク」という観点でも「サプライチェーン管理」が事業者にて適切に行われているかを、利用者が事前に事業者に対して確認し、リスクを把握した上でクラウドサービスの利用可否判断を実施することを推奨します。
※1 出典:IPA「情報セキュリティ10大脅威 2024」(https://www.ipa.go.jp/security/10threats/10threats2024.html)
※2 出典:IPA「クラウドサービスのサプライチェーンリスクマネジメント調査 調査報告書」(https://www.ipa.go.jp/security/reports/economics/scrm/ug65p90000019cza-att/000096929.pdf)
※3 出典:IPA「2022年度 クラウドサービス(SaaS)のサプライチェーンリスクマネジメント実態調査概要説明資料」(https://www.ipa.go.jp/security/reports/economics/scrm/t6hhco000000hg8a-att/ResearchSummary.pdf)
【調査概要】
・調査件数:878件
・調査日:2024年6月13日
・調査対象:2024年1月1日〜6月7日までの期間で、Assuredのセキュリティ調査に回答済みのクラウドサービス事業者
※小数点第二位を四捨五入しているため、合計が100%にならない場合があります。
※本調査を引用される際には、「Assured調べ」と必ずご記載ください。
解説・考察
本調査から分かるように、多くのクラウドサービスではサプライチェーン(委託先)に対して適切な管理やセキュリティ対応事項の合意、定期的な確認・評価を実施しています。しかしながら、一部の(無視できない程度の割合の)クラウドサービスで、適切なサプライチェーン管理が実施されていない状況であることがわかりました。
クラウドサービスを利用する企業としては、こうしたサービスが一定程度存在していることを理解し、「クラウドサービスも自社のサプライチェーンの一環である」と捉え、その委託先まで含めた管理状況を確認し、リスクを把握したうえで利用判断を行うことを推奨します。
一方、クラウドサービス事業者における「委託先管理」の実施状況については公開されていない場合が多いため、利用前に事業者に個別に確認する必要があります。もし、全ての事業者に対しての確認が難しい場合には、サービス利用時に「自社のどのようなデータを預託するのか」を把握し、「預託データの機密性や重要度を踏まえ、情報漏えいや改ざんが発生した場合のビジネス影響」を鑑みて優先度を定義し、優先度の高いサービスから評価や判断を行う方法もあります。
今後もAssuredは、クラウドサービス利用時のセキュリティ脅威から身を守り、安心・安全なクラウド活用、そして社会全体のDX推進を支えていくビジネスインフラとしてサービス向上に努めてまいります。
