SaaS事業者のセキュリティ対策には“決定的な不足”がある Assured調査：セキュリティニュースアラート

アシュアードはクラウドサービス事業者3887件の回答を集計したランサムウェア対策状況の分析結果を公開した。事業者が注力しているセキュリティ領域と対策が弱い部分が浮き彫りになった。

[後藤大地，ITmedia]

　アシュアードは2025年11月6日、クラウドサービス事業者3887件の回答を集計したランサムウェア対策状況の分析結果を発表した。事業者のセキュリティ対策が十分かどうかは、クラウドサービス利用企業にとってはサービス選定時の契約基準策定に直結する内容だ。

クラウドサービス事業者のセキュリティ対策における“決定的な不足”

　アシュアードによると、予防層分析でアプリ層の診断率は75％前後と比較的高かったが、環境設定診断は27.8％と停滞していることが分かった。視点をサイバー攻撃者側に切り替えるペネトレーションテストは39.6％だ。サイバー攻撃面の微細変化が高速化する現況ではこの差分は致命的弱点になり得る。

　クラウド基盤の設定齟齬（そご）はアプリの欠陥より露出面が広がりやすい特性がある。設定監査は理論値上は低コストで回収性が高い。低採用率は組織内サイバーガバナンスの成熟度未充足を示す指標と読める。

　エンドポイント領域では既存型マルウェア対策の維持率は67％台だが、行動解析型の検出基盤は40％台だった。自動化されている追加ステップ連鎖を物理検体無しで走らせる手口が流布し、警戒指標を押し上げている。パターン照合依存の形態は低摩擦だが振る舞い側の観測点が薄い。侵害後の微粒度ログの可観測性が欠落すれば暗号化処理着手前フェーズで復旧手続きに移行する許容時間を取り逃すことになる。

　兆候監視では7割弱水準にとどまる。管理面画面アクセス監視は65％水準だ。権限昇格後の設定改変指令はバックアップ無効化の引き金になり得る。完全侵害達成まで数時間から数日単位で潜伏する型が主流だ。管制塔型モニタリング領域は過小投資の影響が見られる。

　物理的分離ストレージは57％、不変媒体利用は48％と約半数の水準となった。暗号化後に訓練通りに巻き戻せるかどうかを確認する復旧検証は48％水準とされている。暗号化発動時はバックアップ自体が破壊対象になり得る。継続計画文書作成率は高いが実機演習は33％強とされる。計画文書は紙面上のシナリオ整合性は保てても訓練無しではハードルが存在する。現状は演習未経験のまま本番初動で混線する懸念が残る状況だ。

　今回の調査結果は、多くのクラウドサービス事業者において、ランサムウェアにレジリエンス（回復力）が決定的に不足している現状を浮き彫りにした。予防策としての高度な脆弱（ぜいじゃく）性診断や多要素認証の未実施、早期検知の要となるEDRや兆候監視の導入遅れは、攻撃者の侵入を許す隙を生んでいる。

　深刻なのは、万が一の事態に備える復旧対策の脆弱性だ。バックアップデータの保護対策が半数程度にとどまり、実際にデータを戻せるかどうかを検証するリストアテストや、復旧計画の実効性を保証する実機訓練に至っては、実施率が低い水準にある。ランサムウェア攻撃が不可避の脅威となった今、事業者は「防ぐこと」に加えて「いかに早く、確実に復旧するか」を最優先の経営課題と認識する必要がある。サービスを利用する企業側も、契約時にこれらの「復旧能力」に関する明確なデータを要求し、継続的に評価する姿勢が不可欠だ。