2023年の「SaaS」「脆弱性」に関するセキュリティ振り返り–アシュアード

今回は「2023年の「SaaS」「脆弱性」に関するセキュリティ振り返り–アシュアード」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 アシュアードは12月13日、同社が運営するセキュリティ関連サービス「Assured」と「yamory」で得た情報を踏まえた2023年のセキュリティ動向に関するプレス向け説明会を開催した。

 Assuredのサービス概要を説明した代表取締役社長の大森厚志氏は「SaaSやクラウドサービスの第三者評価プラットフォーム」だとし、「Assuredを見ていただければ(SaaSやクラウドの)製品の安全性が分かる。どれを使うべきであってどれは避けた方が良いのかが速やかに分かり、かつクラウドサービスの状況の変遷というものがリアルタイムに分かってくる。そうした安心/安全なクラウドサービス活用を推進するようなプラットフォームを提供している」と説明した。

 続いて、セキュリティ評価責任者の早崎敏寛氏が「Assured独自データから見る2023年セキュリティ動向の振り返り」について説明した。同氏は、Assuredならではのデータとして「2023年のクラウドサービス事業者のセキュリティ未対策項目ToP10」を紹介した(図1)。これは、セキュリティの観点から導入/実施が推奨されるさまざまな対策のうち、実施率が低いものをランキング形式で整理したデータとなる。

 上位を占めたのは「アクセス制御」で、デバイス認証やMACアドレス制限などの手法でデバイスを制限しているかどうかで、アクセス先別に「クラウド/SaaS事業者の自社従業員が利用するサービス運営のためのアカウント」が1位、「サービス利用者のアカウント」が2位、「クラウドサービスの開発、保守および運用において利用するインフラやデータベース、IaaSなどのアカウント」が4位となった。総じて、事業者の内部利用の場面での導入率が低い傾向だ。

 早崎氏は「IPアドレス制限や多要素認証がメインになっていて、デバイス認証/MACアドレス認証の実施率は低いという傾向が見えている」と指摘するとともに、「IPアドレス制限も多要素認証もしておらず、単純にID/パスワードだけでやっているようなところはデバイス認証をした方がよい」と語った。3位に入ったのはバックアップデータの保護対策で、一般に「エアギャップ」や「イミュータブルストレージ」と呼ばれる手法となる。こちらに関しては「そこまではまだできていないところが多かった」とした上で、「対策の強化が推奨される」とした。

 次に同氏が紹介したのは「2023年 SaaS事業者のランサムウェア対策実態」だ。ここでは、「脆弱性診断、ペネトレーションテスト実施は全て4割以下」「サーバーへのウイルス対策ソフトの導入は7割に満たず」「38.1%がインフラやデータベース、IaaSのアカウントについて、多要素認証等の認証方式を用いてアクセス制御できていない」「攻撃者の侵入検知のため、適切な監視を実施できているのは約7割」「リストアテスト実施は半数以下、バックアップデータを論理的に分離した環境に保存しているのは18.6%」といった結果が紹介された。

 最後のトピックとして、早崎氏は「海外/国内SaaSのセキュリティ対策比較」を取り上げた。ユーザー側の認識としても、国内事業者のセキュリティ対策は海外の事業者に比べると遅れているのではないかと感じている人が多いと思われるため、興味深い調査と言えるだろう。具体的には、「主に日本企業が利用を検討している、国内に展開するグローバルなクラウドサービス」を「準拠法が日本法かその他の国であるか」に基づいて海外/国内を区別し、それぞれのセキュリティ対策について比較したという。

 おおむね海外事業者の方が対策が進んでいるという予想通りの結果だが、国内と海外で異なる傾向が見られたのが「情報セキュリティまたは個人情報保護について取得している第三者による認証や評価(複数回答)」で、国内事業者ではISO/IECの27001/27017の取得率が海外を上回っている一方、海外事業者の多くが取得しているSOC2(Service Organization Control Type 2)は国内ではまだ取得している事業者がごく少ないという結果となっている(図2)。

 「預託データへのアクセスや特権アカウントの利用に対するモニタリング」は海外事業者の9割以上が対応するなど、国内よりも徹底している。アクセス制御の実装手法では、「接続元IPアドレスによる接続経路制限」は国内事業者の方が多い一方、「多要素認証やリスクベース認証、シングルサインオンなどの適切な認証方式」は海外事業者の実施率が高いなど、国内の対応の遅れも見受けられる。このほか、「データの暗号化」「バックアップデータの保護」「ペネトレーションテスト実施率」「サーバーへのウイルス対策ソフトの導入」「セキュリティ対策に関係する各種監視」「IPS/IDS、WAFの導入」がいずれも海外事業者の方が進んでいる結果となった。

 逆に国内事業者の方が高い結果となったのが「アクセス権限設定の仕様変更通知」で、「事前に通知」しているのは国内事業者で43.2%、海外では24.8%となっている。この結果について同氏は「国内事業者の方が利用者に優しい傾向がある一方、海外サービスの方は利用者に一定のスキルを求め、能動的に情報を取りにくることを期待している傾向が見られる」と分析した。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
DXを進める企業とITベンダーの関係はどうあるべきか–NEC社長に聞いてみた
IT関連
2022-10-07 10:26
AI与信管理サービスのアラームボックス、リコージャパンと協業開始
IT関連
2022-12-17 10:41
Google、「Pixel 5a(5G)」を5万1700円で発売へ 過去最大6.34インチでIP67
製品動向
2021-08-19 08:39
「ChatGPT」、史上最速でアクティブユーザー数1億人に到達か
IT関連
2023-02-07 00:28
東証がSREによるレジリエンス向上に挑む理由。過去のシステム障害から何を学んだのか?(前編) ソフトウェア品質シンポジウム2022
SRE
2022-09-28 13:50
イーデザイン損保とNTT Com、生成AIアバターによる顧客接点高度化を実証実験
IT関連
2024-06-06 02:20
日本の消費者、優れたカスタマーサービスを提供する企業を積極的に利用—Zendesk調査
IT関連
2022-04-05 20:55
テスラの大型バッテリーシステム「メガパック」がオーストラリアの蓄電施設で発火事故
ハードウェア
2021-08-03 07:54
英政府機関NCSCにフィッシングを報告できる「Office 365」のアドオン
IT関連
2021-08-18 06:23
オンラインレンタカー会社のBooking Group、「IBM Cloud」採用–価格や在庫の柔軟な調整に向け
IT関連
2021-03-23 22:59
東京都港区、行政手続きのデジタル化を目指して窓口総合支援システムを導入
IT関連
2021-03-13 15:04
構築時間、コスト、情報セキュリティ―― サテライトオフィスが持つ通信環境の課題、「Cisco Meraki」で一括解決
PR
2021-08-12 03:07
富士通、企業向け生成AIでCohereと戦略的提携–日本語LLM「Takane」を共同開発
IT関連
2024-07-18 11:49
“洋服の青山”がAIスナックママ「よしこ」公開 若者の悩みに答えるチャットbot
ネットトピック
2021-07-08 19:35