1. HOME
  2. ブログ
  3. SaaS事業者のセキュリティ未対策項目 TOP10

SaaS事業者のセキュリティ未対策項目 TOP10

ランサムウェア対策として重要なバックアップ対策や脆弱性診断、情報漏えい被害を低減させる暗号化対策などの実施率が低い傾向(セキュリティ評価プラットフォーム「Assured」調査)

Visionalグループの株式会社アシュアードは、2024年上半期におけるクラウドサービス(SaaS等)事業者のセキュリティ対策について、実施率が低い項目TOP10をまとめて発表した。

調査背景

Assuredが2024年1月1日〜6月7日に実施したセキュリティ調査に対するクラウドサービス事業者の回答結果から、実施率が低い対策上位10項目をまとめ、2024年上半期におけるクラウドサービスのセキュリティ対策状況を発表した。

2024年上半期にAssuredが調査したクラウドサービスのセキュリティ対策状況の全体傾向として、セキュリティスコアが85点以上の割合が31.7%から21.9%に低下した。また、標準的なセキュリティ対策ができていると言える70点を下回る割合が、30.4%から34.9%に増加している。

Assuredでは、年3回程度評価項目の改訂(高度化)を行っており、項目改訂によってスコアが低下していることが想定される。サイバー攻撃は常に高度化しているため、セキュリティトレンドに応じた継続的なセキュリティ対策の向上が望まれる。

Assuredセキュリティ評価責任者 早崎 敏寛氏による各項目の解説

1位/2位/3位:「アクセス制御」リスクベース認証

「アカウント認証について、リスクベース認証の実施率が低い結果となりました。

リスクベース認証は普段と異なる環境からのアクセス等、不審なふるまいを検知した場合に、追加の認証情報を提供するように要求する認証方法です。多要素認証と合わせてリスクベース認証を行うことで、より強固なセキュリティ対策となります」。

4位/5位/6位:「アクセス制御」デバイス認証やMACアドレス制限等によりデバイスを制限

「2023年に引き続きアカウント認証において、デバイス認証やMACアドレス制限の実施率が低い結果となりました。クラウドサービスの用途にもよりますが、アカウント認証においては、多要素認証が最も重要な対策です。そのため、本対策が実施されていない場合でも、多要素認証が実施されていれば問題ないケースが多いと考えられます」。

7位:「アクセス制御」シングルサインオン(SSO)認証

「クラウドサービス事業者の従業員が利用する、サービス運営のためのアカウント認証について、シングルサインオン(SSO)の実施率は25.2%と、4分の3のクラウドサービスで実施できていませんでした。これは、「サービス利用者のアカウント認証」や「クラウドサービスの開発、保守および運用において利用するインフラやデータベース、IaaS等のアカウント認証」におけるシングルサインオン(SSO)の実施率より低い結果です。

事業者の従業員が利用する、サービス運営のための機能や管理画面は、事業者の従業員のみが利用する前提のため、従来の境界型防御の考えから認証機能が弱い傾向にあります。境界型防御だけでは、内部に侵入した攻撃者や内部不正に対して脆弱なため、ゼロトラストの考えに基づいたセキュリティ対策を講じることが重要です」。

8位:「暗号化」鍵の利用をモニタリング

「クラウドサービス事業者のうち半数の50.6%は鍵管理システムを利用していますが、2023年に引き続き、利用のモニタリングまでできているのは3割に満たない結果となりました。鍵管理システムを利用することで、鍵の利用履歴が記録されますが、利用状況をモニタリングしないと不適切な利用に気づくことができないためモニタリングは重要です」。

9位:「サービスレベル」稼働実績を開示

「クラウドサービス事業者のうち半数の54.3%は稼働目標を定めていましたが、稼働実績を開示しているのは29.7%にとどまる結果となりました。SaaSはパブリッククラウド上に構築されることが多く、パブリッククラウドの稼働実績に左右されたり、低料金や可用性が高く求められないクラウドサービスの場合は冗長化構成にしないなど、稼働実績が必ずしも高くないケースがあると想定されます。その場合、開示した稼働実績によって利用者に不安をあたえることを懸念して、稼働実績を開示しないことが考えられます」。

10位:「アクセス制御」多要素認証

「クラウドサービス事業者の従業員が利用する、サービス運営のためのアカウント認証について、多要素認証の実施率は32.1%にとどまりました。これは、「サービス利用者のアカウント認証」や「クラウドサービスの開発、保守および運用において利用するインフラやデータベース、IaaS等のアカウント認証」における多要素認証の実施率より低い結果です。

利用するクラウドサービスのセキュリティ評価として、サービス利用者のアカウント認証の確認は多くの企業で実施されていますが、事業者側の従業員のアカウント認証が脆弱な場合も、サイバー攻撃や内部不正によってクラウドサービス事業者から情報が漏えいしたり、サービス停止に至るリスクがあるため、評価するうえで重要な観点となります。そのため、事業者側のアカウント認証についても、多要素認証等の強固な認証が実施されていることを確認することを推奨します」。

【調査概要】

・調査件数:878件
・調査日:2024年6月7日
・調査対象:Assuredのセキュリティ調査に回答済みのクラウドサービス事業者

※小数点第二位を四捨五入しているため、合計が100%にならない場合がある。

出典:【2024年上半期セキュリティレポート Vol.2】SaaS事業者のセキュリティ未対策項目 TOP10

関連記事

サイバーセキュリティの課題をテーマ別に紹介中!!