IPA クラウドサービス(SaaS)のサプライチェーンリスクマネジメント実態調査結果を公表
クラウドサービス(SaaS)の情報開示とその情報の収集や利用に関する実態調査の結果を公開
コロナ禍以降クラウドサービス(SaaS)の利用が増加している。しかし、SaaSの選定時にセキュリティリスクの検討やセキュリティが対策を十分考慮されずに導入されたり、運用時の確認や設定変更がされずに脆弱性が放置されたりすることでサプライチェーンのセキュリティリスクが高まっている。さらに、SaaSの活用に係る多くのインシデントが報告されており、利用者が多いことから影響の拡大が深刻になっている。
このような状況に対して、ガイドラインの発行、見直しや認証制度等様々な政策・取組が行われている。IPAでは2021年度にまつわるSaaSのサプライチェーンのインシデントや脆弱性情報の収集と分析および有識者インタビューにより脅威、リスク、今後の課題などを明らかにした。その結果「SaaS事業者は、個人情報の保護の方針を含めたSaaSのセキュリティを保証する情報を開示する習慣の確立が必要であり、またSaaS利用者のセキュリティ設定ミスへの対策として安全な利用方法のSaaS利用者への案内(周知)が必要であることが指摘された。
これを受け、2022年度調査では、情報開示、情報利用の実態をSaaS事業者、SaaS利用者にアンケート調査及び有識者へのインタビュー調査により把握した。
調査結果のポイント
- 事業者が情報を開示する、または利用者が情報を収集する目的は、一番に安心してクラウドサービスを利用するため、次いで責任範囲を明らかにするためであり、両者の目的は一致していることが分かった。(概要説明書 P12,13)
- 事業者は情報開示の必要性を認識しており、情報の内容によってHPで広く公開する、要求ごとに対応するなど、その方法を変えている。しかし、技術的対策や物理的対策は、問い合わせがなければ開示しない傾向にある。(概要説明書 P15,16)
- 利用者は、公開されている情報を中心に手探りで情報収集していることが多い。そのため、基準やガイドで求められる項目に対しては網羅性が低い。また、情報は収集するものの、十分利用しきれていない。(概要説明書 P14,15,16)
- 事業者は、情報の開示・提供に対応する工数がかけられない、手続きが煩雑すぎるといった課題を挙げている。その要因としては、対応が必要である情報の種類・数が多いことが挙げられる。(概要説明書 P16,18)
- 利用者は、情報が多すぎること、情報収集・利用に工数がかけられないことを課題に挙げている。実際に、公開されている情報から必要な情報を絞り込み、比較検討するといったことは容易ではない。しかも、その情報の網羅性は低く、対策検討には不十分である可能性がある。
- クラウドサービスの安全な利用のためには、事業者は利用者にとって収集しやすい情報を開示する、利用者はSaaSの選定・運用に必要な情報を取り決め、公開されていない情報があれば問い合わせて収集する、といった対策の実施・見直しを行う必要がある。
- 事業者が指針やガイドラインに基づく認証・認定制度を活用することは有効であると考えられる。ISMSやプライバシーマークについては知名度があり、取得済みの事業者も多い。ただし、クラウドサービス固有の対策を強化するためには他の基準・認証にも目を向ける必要がある。
- 利用者にとって、第三者機関が専門性をもって確認した結果を参考にすることは有効であると考えられる。基本的要件については認証・認定の有無により確認し、一定の保証がされている前提で、自社固有のセキュリティ要件や条件についてのみ問い合わせることで効率よく選定ができる。
アンケートの概要等は、IPAのHP(下記)から確認をしてほしい。
https://www.ipa.go.jp/security/reports/economics/scrm/cloud2022.html
報告書のダウンロード
- エグゼクティブサマリー(PDF:915 KB)
- 概要説明書(PDF:1.7 MB)
- 調査報告書(近日公開)
