2023年の「SaaS」「脆弱性」に関するセキュリティ振り返り–アシュアード

今回は「2023年の「SaaS」「脆弱性」に関するセキュリティ振り返り–アシュアード」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 アシュアードは12月13日、同社が運営するセキュリティ関連サービス「Assured」と「yamory」で得た情報を踏まえた2023年のセキュリティ動向に関するプレス向け説明会を開催した。

 Assuredのサービス概要を説明した代表取締役社長の大森厚志氏は「SaaSやクラウドサービスの第三者評価プラットフォーム」だとし、「Assuredを見ていただければ(SaaSやクラウドの)製品の安全性が分かる。どれを使うべきであってどれは避けた方が良いのかが速やかに分かり、かつクラウドサービスの状況の変遷というものがリアルタイムに分かってくる。そうした安心/安全なクラウドサービス活用を推進するようなプラットフォームを提供している」と説明した。

 続いて、セキュリティ評価責任者の早崎敏寛氏が「Assured独自データから見る2023年セキュリティ動向の振り返り」について説明した。同氏は、Assuredならではのデータとして「2023年のクラウドサービス事業者のセキュリティ未対策項目ToP10」を紹介した(図1)。これは、セキュリティの観点から導入/実施が推奨されるさまざまな対策のうち、実施率が低いものをランキング形式で整理したデータとなる。

 上位を占めたのは「アクセス制御」で、デバイス認証やMACアドレス制限などの手法でデバイスを制限しているかどうかで、アクセス先別に「クラウド/SaaS事業者の自社従業員が利用するサービス運営のためのアカウント」が1位、「サービス利用者のアカウント」が2位、「クラウドサービスの開発、保守および運用において利用するインフラやデータベース、IaaSなどのアカウント」が4位となった。総じて、事業者の内部利用の場面での導入率が低い傾向だ。

 早崎氏は「IPアドレス制限や多要素認証がメインになっていて、デバイス認証/MACアドレス認証の実施率は低いという傾向が見えている」と指摘するとともに、「IPアドレス制限も多要素認証もしておらず、単純にID/パスワードだけでやっているようなところはデバイス認証をした方がよい」と語った。3位に入ったのはバックアップデータの保護対策で、一般に「エアギャップ」や「イミュータブルストレージ」と呼ばれる手法となる。こちらに関しては「そこまではまだできていないところが多かった」とした上で、「対策の強化が推奨される」とした。

 次に同氏が紹介したのは「2023年 SaaS事業者のランサムウェア対策実態」だ。ここでは、「脆弱性診断、ペネトレーションテスト実施は全て4割以下」「サーバーへのウイルス対策ソフトの導入は7割に満たず」「38.1%がインフラやデータベース、IaaSのアカウントについて、多要素認証等の認証方式を用いてアクセス制御できていない」「攻撃者の侵入検知のため、適切な監視を実施できているのは約7割」「リストアテスト実施は半数以下、バックアップデータを論理的に分離した環境に保存しているのは18.6%」といった結果が紹介された。

 最後のトピックとして、早崎氏は「海外/国内SaaSのセキュリティ対策比較」を取り上げた。ユーザー側の認識としても、国内事業者のセキュリティ対策は海外の事業者に比べると遅れているのではないかと感じている人が多いと思われるため、興味深い調査と言えるだろう。具体的には、「主に日本企業が利用を検討している、国内に展開するグローバルなクラウドサービス」を「準拠法が日本法かその他の国であるか」に基づいて海外/国内を区別し、それぞれのセキュリティ対策について比較したという。

 おおむね海外事業者の方が対策が進んでいるという予想通りの結果だが、国内と海外で異なる傾向が見られたのが「情報セキュリティまたは個人情報保護について取得している第三者による認証や評価(複数回答)」で、国内事業者ではISO/IECの27001/27017の取得率が海外を上回っている一方、海外事業者の多くが取得しているSOC2(Service Organization Control Type 2)は国内ではまだ取得している事業者がごく少ないという結果となっている(図2)。

 「預託データへのアクセスや特権アカウントの利用に対するモニタリング」は海外事業者の9割以上が対応するなど、国内よりも徹底している。アクセス制御の実装手法では、「接続元IPアドレスによる接続経路制限」は国内事業者の方が多い一方、「多要素認証やリスクベース認証、シングルサインオンなどの適切な認証方式」は海外事業者の実施率が高いなど、国内の対応の遅れも見受けられる。このほか、「データの暗号化」「バックアップデータの保護」「ペネトレーションテスト実施率」「サーバーへのウイルス対策ソフトの導入」「セキュリティ対策に関係する各種監視」「IPS/IDS、WAFの導入」がいずれも海外事業者の方が進んでいる結果となった。

 逆に国内事業者の方が高い結果となったのが「アクセス権限設定の仕様変更通知」で、「事前に通知」しているのは国内事業者で43.2%、海外では24.8%となっている。この結果について同氏は「国内事業者の方が利用者に優しい傾向がある一方、海外サービスの方は利用者に一定のスキルを求め、能動的に情報を取りにくることを期待している傾向が見られる」と分析した。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
月データセンターや6Gは黎明期、Web3は期待のピーク期、モノのインターネットは幻滅期など、ガートナーが「日本における未来志向型インフラ・テクノロジのハイプ・サイクル:2022年」を発表
業界動向
2022-09-05 15:55
NRIデジタル、資生堂のサービス構築を支援–店頭での接客をウェブで振り返り
IT関連
2022-05-12 15:40
すかいらーくグループ、品質管理部門の検査業務プロセスをデジタル化
IT関連
2024-03-15 00:35
グーグル、フルマネージドのKubernetesを「GKE Autopilot」で提供
IT関連
2021-02-25 07:39
ブログ作成ツール「tDiary」20周年 「みなさんの人生を綴る日記帳であり続ける」
ネットトピック
2021-04-21 13:32
Celonis、「Sailfin Accounts Receivable」発表–AI活用でキャッシュフローと運転資本を改善
IT関連
2024-04-16 22:07
Chipolo、Apple「探す」アプリに対応したアイテムファインダー「Chipolo ONE Spot」を発表
IT関連
2021-04-09 22:28
紙ストローが“ふにゃっ”とならない 「100%土に還る」天然素材のコーティング材開発
くらテク
2021-05-14 01:26
Appleの製造パートナーも再生可能エネルギーに切り替えへ 110社以上がApple製品製造用電力を
IT関連
2021-04-02 18:12
第1回:電子帳簿保存法で対応するべきこと、しなくてもよいこと
IT関連
2023-06-28 14:10
富士通とレッドハット、DX支援事業を共同展開–新協業モデルに
IT関連
2022-03-11 23:40
ドコモ、49gの軽量スマートグラスを公開 Androidスマホと有線接続
企業・業界動向
2021-02-04 00:24
ヴイエムウェアが「VMware Cloud」発表、マルチインフラ対応とアプリのモダン化を促進
IT関連
2021-04-01 05:58
レノボがテック大手のCEOらと披露した全方位のハイブリッドAI戦略
IT関連
2024-10-23 02:59