あなたの使うサービスは安心？ SaaS事業者に聞きたい“10の質問”：セキュリティニュースアラート

アシュアードはSaaS事業者のセキュリティ対策実態について調査を発表した。ランサムウェア対策の実態やセキュリティ対策の未実施項目などが明らかになった。

[後藤大地，有限会社オングス]

　アシュアードは2023年12月14日、2023年におけるクラウドサービス事業者のセキュリティ対策実態について調査結果を発表した（Assured調べ）。SaaS事業者のランサムウェア対策の実態やセキュリティ対策の未実施項目などが明らかになった。

アシュアードは2023年におけるクラウドサービス事業者のセキュリティ対策実態について調査結果を発表した（出典：アシュアードのWebサイト）

任せて大丈夫か？　クラウドサービス事業者のセキュリティ実態調査

　アシュアードはVisionalグループの企業で、セキュリティ評価プラットフォーム「Assured」を運営している。同調査は2023年12月7日にAssuredのセキュリティ調査に回答済みのクラウドサービス事業者を対象に実施されたもので、調査件数は1002件とされている。

　報告されている主な内容は以下の通りだ。

• 脆弱（ぜいじゃく）性診断やペネトレーションテストの実施は4割以下だった
• サーバにおけるウイルス対策ソフトウェアは33.2％が未導入だった
• 38.1％がインフラストラクチャやデータベース、IaaSなどのアカウントについて多要素認証などの認証方式を使ったアクセス制御ができていない
• 約3分の1がサイバー攻撃者の侵入を検知するための適切な監視をできていない
• リストアのテストを実施しているのは半数以下だった
• バックアップデータを論理的に分離した環境に保存しているのは18.6％だった

　アシュアードは調査結果から、「ランサムウェア対策が十分にできているクラウドサービスはそれほど多くない」と指摘し、「クラウドサービスを利用する企業は事業者のセキュリティ対策状況を確認し、安全性を可視化して利用可否を判断する必要がある」と述べている。

　この他、クラウドサービス事業者のセキュリティ対策について実施率が低い項目として次のトップ10が取り上げられている。

1. 自社の従業員が利用するサービス運営のためのアカウントに対してデバイス認証やMACアドレス制御などのデバイス制限を実施する
2. サービス利用者のアカウントに対してデバイス認証やMACアドレス制御などのデバイス制限を実施する
3. バックアップから適切に普及するためのバックアップデータを論理的に分離した環境やオフラインストレージまたは不変ストレージに保存する
4. クラウドサービスの開発や保守、運用において利用するインフラストラクチャやデータベース、IaaSなどのアカウントに対してデバイス認証やMACアドレス制御などのデバイス制限を実施する
5. 暗号化するための鍵やパスワードの利用をモニタリングする
6. 脆弱性診断業者などの専門家によるペネトレーションテストを実施する
7. サービスレベルの責任範囲について稼働実績を開示する
8. 預託データに関して脆弱性のあるプロトコルやアルゴリズムの使用を禁止する
9. 脆弱性診断業者などの専門家によるツールと手動を組み合わせたプラットフォーム診断を実施する
10. ツールによるアプリケーションの自動診断を実施する

　調査から、多くのクラウドサービス事業者は個人情報保護法などの各種法令に対応するセキュリティ対策を講じているが、時間と費用がかかる対策については実施率が低いことが分かっている。