ニュース
あなたの使うサービスは安心? SaaS事業者に聞きたい“10の質問”:セキュリティニュースアラート
アシュアードはSaaS事業者のセキュリティ対策実態について調査を発表した。ランサムウェア対策の実態やセキュリティ対策の未実施項目などが明らかになった。
アシュアードは2023年12月14日、2023年におけるクラウドサービス事業者のセキュリティ対策実態について調査結果を発表した(Assured調べ)。SaaS事業者のランサムウェア対策の実態やセキュリティ対策の未実施項目などが明らかになった。
任せて大丈夫か? クラウドサービス事業者のセキュリティ実態調査
アシュアードはVisionalグループの企業で、セキュリティ評価プラットフォーム「Assured」を運営している。同調査は2023年12月7日にAssuredのセキュリティ調査に回答済みのクラウドサービス事業者を対象に実施されたもので、調査件数は1002件とされている。
報告されている主な内容は以下の通りだ。
- 脆弱(ぜいじゃく)性診断やペネトレーションテストの実施は4割以下だった
- サーバにおけるウイルス対策ソフトウェアは33.2%が未導入だった
- 38.1%がインフラストラクチャやデータベース、IaaSなどのアカウントについて多要素認証などの認証方式を使ったアクセス制御ができていない
- 約3分の1がサイバー攻撃者の侵入を検知するための適切な監視をできていない
- リストアのテストを実施しているのは半数以下だった
- バックアップデータを論理的に分離した環境に保存しているのは18.6%だった
アシュアードは調査結果から、「ランサムウェア対策が十分にできているクラウドサービスはそれほど多くない」と指摘し、「クラウドサービスを利用する企業は事業者のセキュリティ対策状況を確認し、安全性を可視化して利用可否を判断する必要がある」と述べている。
この他、クラウドサービス事業者のセキュリティ対策について実施率が低い項目として次のトップ10が取り上げられている。
- 自社の従業員が利用するサービス運営のためのアカウントに対してデバイス認証やMACアドレス制御などのデバイス制限を実施する
- サービス利用者のアカウントに対してデバイス認証やMACアドレス制御などのデバイス制限を実施する
- バックアップから適切に普及するためのバックアップデータを論理的に分離した環境やオフラインストレージまたは不変ストレージに保存する
- クラウドサービスの開発や保守、運用において利用するインフラストラクチャやデータベース、IaaSなどのアカウントに対してデバイス認証やMACアドレス制御などのデバイス制限を実施する
- 暗号化するための鍵やパスワードの利用をモニタリングする
- 脆弱性診断業者などの専門家によるペネトレーションテストを実施する
- サービスレベルの責任範囲について稼働実績を開示する
- 預託データに関して脆弱性のあるプロトコルやアルゴリズムの使用を禁止する
- 脆弱性診断業者などの専門家によるツールと手動を組み合わせたプラットフォーム診断を実施する
- ツールによるアプリケーションの自動診断を実施する
調査から、多くのクラウドサービス事業者は個人情報保護法などの各種法令に対応するセキュリティ対策を講じているが、時間と費用がかかる対策については実施率が低いことが分かっている。
関連記事
- 神戸大 森井教授が提言する、セキュリティ予算0円の企業でも「できること」
ランサムウェア攻撃が激化する中、セキュリティに回す予算やリソースがないと嘆く中堅・中小企業は多く存在する。そういった企業に向けて神戸大学大学院教授の森井昌克氏が“できること”を伝えた。 - 「SIEMは消滅する」 クラウドストライク、2024年のセキュリティ予測を発表
クラウドストライクは2024年のサイバーセキュリティ業界予測を発表した。生成AIが組織にもたらすリスクや従来のSIEMが限界を迎えていることが指摘されている。 - 9割以上が現状のクラウドセキュリティ体制に懸念 特に注意すべき脅威は
Cybersecurity Insidersはクラウドセキュリティの重要性を強調するレポートを公開した。95%の専門家がセキュリティ体制に懸念を示している。 - E2EEとは何か? 今すぐ使える暗号化技術のメリットと設定方法を解説
端末のデータ保護を担う暗号化技術として筆者が最近注目しているのが「E2EE」(End to End Encryption)です。意外に普及していないこの技術のメリットや、LINEやiCloudでこれを設定する方法を紹介します。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.