SaaSベンダーはどこまでランサムウェア対策をしているのか？ 実態調査から見えたちょっと心配な現状：そのSaaS本当に安全ですか？（2/2 ページ）

導入しているSaaSはランサムウェア対策をきちんと施しているでしょうか。実態調査からSaaSのセキュリティ対策状況を明らかにします。

[早崎敏寛，アシュアード]

海外／国内SaaSのセキュリティ対策比較

　欧米と比較すると、しばしば日本のセキュリティ意識や対策は遅れていると言われています。アシュアードはセキュリティ評価結果から海外／国内SaaSのセキュリティ対策状況を比較しました。なお、海外／国内SaaSは準拠法が日本法かどうかで区分しています。また、海外SaaSは主に日本国内の企業が利用を検討しており、かつ日本で展開されているサービスを指します。

　国内SaaSにおいては、ISMS（ISO/IEC 27001）を取得している割合が60.2％と、海外SaaSの50.7％よりも高く、情報セキュリティ監査「SOC2」を取得している割合が8.6％と、海外の59.2％と比較して著しく低い状況でした。

情報セキュリティまたは個人情報保護について取得している第三者による認証や評価（出典：アシュアード提供資料）

　SOC2は、クラウドサービスプロバイダーやデータセンターの事業者を対象に、米国公認会計士協会（AICPA）が定めたトラストサービス基準に従って、事業者の扱うシステムに対するセキュリティが評価されるものです。「政府情報システムにおけるクラウドサービスの適切な利用に係る基本方針」でも、第三者による認証や各クラウドサービスの提供している監査報告書を利用することの重要性が記されており、国内でもSOC2への対応が推奨される動きが出始めています。

　また、ネットワーク／サーバへの異常な通信や不正なアクセスを検知・防御するシステムであるIPS/IDSは海外SaaSでは88.0％導入されていますが、国内SaaSでの導入率は68.9％でした。DoS／DDoS攻撃などのOSやWebサーバの脆弱性を突いた攻撃や、負荷を掛ける攻撃への対策として有効なものであり、全てサービスで導入が推奨されます。

　この他、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護するWeb Application Firewall（WAF）についても、海外SaaSでは85.3％導入されていますが、国内SaaSの導入率は73.7％にとどまっています。

IPS/IDSやWAFは海外と比較して国内SaaSでは進んでいない（出典：アシュアード提供資料）

　仕様変更についての事前通知は国内SaaSの方が43.2％と、海外SaaSの24.8％と比較して高い傾向にありました。海外SaaSを利用する場合は、仕様変更が事前に通知されないことが多いので、これらの情報を把握するための社内体制や仕組みを整える必要があります。

アクセス権限設定の仕様を変更する場合は事前に通知する割合（出典：アシュアード提供資料）

　本稿では、アシュアード独自のデータからSaaSのセキュリティ対策状況の実態を取り上げました。次回は日本の個人情報保護法や世界のプライバシー法が厳格化する中で、SaaSに入力や格納するデータに関する評価ポイントを解説します。