サイバーセキュリティ復旧力に課題　SaaS事業者のランサム対策実態

株式会社アシュアードは、Assuredで収集したクラウドサービス（SaaS・ASP等）の評価データ3,887件を分析し、SaaS事業者におけるランサムウェア対策の実態を公表した。

要旨——“防ぐ・気づく・戻す”の3層にギャップが残る

調査は対策を予防・早期検知・復旧の3層で整理し、いずれにも未実装または実効性に課題が残る状況を示した。とりわけEDR等の高度検知、多要素認証（MFA）、復旧訓練（リストアテスト/実機BCP）の実装不足が目立つとしている。サプライチェーン経由の被害が顕在化する中、攻撃を前提としたレジリエンスが問われている。

予防的対策——ペンテスト4割、設定診断3割

攻撃入口となる脆弱性に対しては、アプリケーション脆弱性診断が75.1%と比較的普及している一方、攻撃者目線で侵入可否を試すペネトレーションテストは39.6%、クラウド固有の設定不備を洗う設定診断（セキュリティポスチャーアセスメント）は27.8%にとどまる。マルウェア対策ソフトの導入・運用は67.5%だが、EDRなど高度検知技術は40.2%であり、LOTL（Living Off The Land）のような手口に対する備えが十分とは言い難い。アクセス制御ではMFA実装が61.3%で、約4割が未実装という結果である。

早期検知対策——兆候監視・管理画面監視に穴

侵入から暗号化・持ち出しまでの潜伏期間で“気づく力”が鍵となる。不審なファイル操作や通信の兆候監視は69.2%、IaaS / PaaSの管理画面アクセス監視は65.3%にとどまり、侵入後の横展開を捉える監視が十分とは言えない。前段のEDR実装40.2%という低さと併せ、初動での検知・阻止に改善余地が大きい。

復旧対策——リストアテスト48.1%、オフライン/不変バックアップも約半数

暗号化後の復元力は事業継続の最終線である。バックアップの定期確認は82%と高い一方、オフライン保管57.1% / 不変（イミュータブル）48.3%と、攻撃からバックアップ自体を守る施策は約半数にとどまる。いずれか一方でも実施の比率は69.4%だが、本来は併用が望ましいとしている。さらに、バックアップが実際に戻せるかを検証するリストアテストは48.1%で半数未満であった。SLA / SLOを維持できるかの観点での検証を求めている。

BCP（実機訓練）——約6割が未実施、実効性の担保が課題

実機訓練まで実施しているのは33.4%にとどまり、約6割が未実施である。計画を“紙の上”から“動く計画”へ高めるには、定期的な訓練と見直しが不可欠であり、計画の実効性を担保すべきだと指摘する。

「復旧能力は必須要件」

アシュアード 真藤 直観（セキュリティエキスパート / セキュリティサービス部 部長）氏は、検知能力の強化とバックアップ＋実効性あるリカバリ訓練を「あれば望ましいではなく必須要件」と位置づける。サービス利用企業に対しては、契約時に復旧能力の確保・維持状況を確認し、継続的に評価することを求めている。

調査結果サマリー

• 脆弱性対策：ペネとレーションテスト：4割以下、設定診断：3割以下。
• マルウェア対策：約6割がEDR未実施。
• アクセス制御：約4割が多要素認証等未実施。
• 監視：約3分の1が適切な監視を未実施。
• バックアップ：リストアテスト半数以下、バックアップデータの対策も約半数。
• BCP：約6割が実機訓練を含むBCP策定未実施。

出典：PRTimes クラウドサービス（SaaS）事業者のランサムウェア対策実態（Assured独自データ分析結果公開）