2023年 セキュリティレポート「 クラウドサービス(SaaS等)事業者のランサムウェア対策の実態」
Visionalグループの株式会社アシュアードが運営するセキュリティ評価プラットフォーム「Assured(アシュアード)」は、2023年におけるクラウドサービス(SaaS等)事業者のランサムウェア対策の実態について3回にわたって発表した。
SaaS事業者のランサムウェア対策実態
<結果サマリー> ・脆弱性対策:脆弱性診断やペネトレーションテストの実施は4割以下。サーバーへのウイルス対策ソフトは33.2%が未導入 ・アクセス制御:38.1%がインフラやデータベース、IaaS等のアカウントについて、多要素認証等の認証方式を用いてアクセス制御できていない ・不正アクセス監視:約3分の1が、攻撃者の侵入を検知するための適切な監視を実施できていない ・バックアップ対策:リストアテスト実施は半数以下、バックアップデータを論理的に分離した環境に保存しているのは18.6% |
ランサムウェアへの対策は、大きく2つある。まず1つ目にランサムウェアに感染しないための対策、2つ目はランサムウェアに感染したとしても、被害を最小限にし、早期に復旧するための対策。Assuredで実施しているセキュリティ調査の項目から、これらの主な対策実態を取り上げている。
SaaS事業者のランサムウェア対策実態の詳細は、こちらから確認いただきたい。
SaaS事業者のセキュリティ未対策項目 TOP10
2023年におけるクラウドサービス(SaaS等)事業者のセキュリティ対策について、実施率が低い項目TOP10は以下のようになるようだ。
SaaS事業者のセキュリティ未対策項目 TOP10の詳細は、こちらから確認いただきたい。
海外SaaSと国内SaaSのセキュリティ対策比較
2023年における海外のクラウドサービス(SaaS等)と国内のクラウドサービスのセキュリティ対策状況を比較し、その傾向を発表した。
<結果サマリー> ・第三者認証:SOC2の取得率は、海外が半数以上に対し、国内は1割未満 ・アカウント認証:多要素認証の実施率は海外は約9割に対し、国内は約半数にとどまる ・預託データの暗号化:データベースやファイルの暗号化は海外サービスは9割以上が実施、一方国内サービスは4つに1つが未実施 ・バックアップ対策:ランサムウェア対策として重要な遠隔地保管やリストアテストの実施率は国内より海外の方が高い |
海外SaaSと国内SaaSのセキュリティ対策比較の詳細は、こちらから確認いただきたい。
Assuredセキュリティ評価責任者 早崎 敏寛氏による考察
<本調査結果について>
Assuredでセキュリティ評価を実施した海外サービスは、主に日本企業が導入を検討しているサービスとなるため、グローバルに展開するサービスが多いという前提で、今回の調査結果を考察すると、これらの海外サービスはセキュリティを重要視しており、SOC2の取得が多いことからわかるように組織のセキュリティ成熟度が高く、セキュリティ投資が必要なIPSやIDS、WAFの導入やペネトレーションテストの実施率も高いことから、セキュリティ対策が徹底されていることが分かります。
グローバルに展開する大手の海外サービスはSOC2をはじめとした各種認証を取得しセキュリティに関する取り組み内容を開示しているため、個別のセキュリティチェックには対応せず、開示情報の参照を促されることが国内サービスと比較して多い傾向にあります。その場合、利用企業がクラウドサービス事業者が開示しているセキュリティ情報を確認し、セキュリティ評価を実施する必要があり、利用企業側に開示情報を読み解きセキュリティ評価を実施する体制や仕組みが求められます。こうした場合にもセキュリティ評価に役立てるよう、Assuredでは公開情報からセキュリティ対策状況を分析するウェブ評価機能や、規約などをAI分析で読み解く機能も提供しています。
一方、国内サービスにおいても、クラウドサービス事業者が、積極的にセキュリティ情報開示を行うと共に、Assuredも活用いただきながら、自社サービスのセキュリティ対策を評価し、セキュリティ水準向上に繋げていただきたいと考えています。
<2023年の総括、および、2024年の動向予測>
2023年はChatGPTが大きな話題となり、他の生成AIや生成AIを組み込んだSaaS等のクラウドサービスが多く登場しました。当初、セキュリティ等への懸念から生成AIの業務利用に二の足を踏む企業が多かった印象ですが、活用事例が多数公表されるとともに生成AIのセキュリティ対策が向上した結果、業務への利用が加速しました。
2024年は引き続き生成AI関連のクラウドサービスが様々登場し、玉石混淆の様相を呈することが想定されます。新規事業や事業強化にクラウドサービスを活用したものの、そのクラウドサービスでセキュリティインシデントが発生した場合、事業への影響は避けられません。そのため、安心して利用できるクラウドサービスを選定することは事業継続にとって重要な要素となります。安全性とスピードを両立させた事業推進のため、利用するクラウドサービスのセキュリティ評価はより一層必要不可欠となるでしょう。
出典:【2023年セキュリティレポート Vol.1】SaaS事業者のランサムウェア対策実態
【2023年セキュリティレポート Vol.2】2023年SaaS事業者のセキュリティ未対策項目 TOP10
【2023年セキュリティレポートVol.3】海外SaaSと国内SaaSのセキュリティ対策比較