SaaS事業者のランサムウェア耐性環境などに課題–アシュアード調査

今回は「SaaS事業者のランサムウェア耐性環境などに課題–アシュアード調査」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 アシュアードは、SaaS事業者のセキュリティ対策状況を調査し、サプライチェーンの観点で分析した結果を発表した。全体的にセキュリティレベルが向上しているものの、ランサムウェア耐性環境など一部に課題があると指摘している。

 調査は、12月5日に同社のクラウドリスク評価サービスに回答したSaaS事業者1049件を対象に行い、企業の関心事となっているサプライチェーンでのセキュリティリスクの観点から分析した。

 まずセキュリティガバナンス体制の状況(複数回答)では、情報セキュリティ管理責任者の設置(97.2%)、有事を想定した役割や責任を定義(92.4%)、情報セキュリティ管理を担う部署・役割を定義(91.2%)と高い一方、外部に委託する業務、役割、責任を定義が75.1%だった。これは、SaaS事業者が利用するIaaS事業者から提供されるセキュリティサービスを受動的に利用していることや責任範囲の確認が行われていないことがあるという。

 セキュリティ対策の実施状況(複数回答)として、開発工程では、セキュアコーディング(87.6%)、ソースコードのレビュー(86.7%)、利用しているオープンソースソフトウェアの把握(84.0%)などが挙げられた。運用では、セキュリティパッチの適用(82.2%)、脆弱(ぜいじゃく)性管理手続きの文書化(75.9%)、脆弱性やベンダーサポートの終了の把握(75.0%)、定期的にドキュメントを見直し(71.7%)などが挙げられたものの、総じて開発工程よりも実施率がやや低かった。

 セキュリティ診断の実施状況(複数回答)は、アプリケーションの脆弱性診断が73.1%、プラットフォームの脆弱性診断が62.7%、第三者によるペネトレーションテスト(疑似的な不正侵入検査)が41.0%、セキュリティポスチャー評価(設定診断)が22.0%だった。

 バックアップ対策の実施状況(複数回答)では、定期的なバックアップ取得の確認(88.9%)や物理的に離れた場所への保存(64.6%)、リストアテストの実施が55.0%、論理的な分離環境/オフライン/イミュータブル(不変)ストレージへの保存が50.1%だった。昨今はランサムウェア被害によるビジネスへの影響が大きなリスクであるものの、ランサムウェア対策とされる論理的な分離環境/オフライン/イミュータブルストレージの利用は半分程度にとどまった。

 利用企業向けの通知状況では、事前・緊急・不定期などのメンテナンス告知、サービスに関する大きな変更・終了、障害・パフォーマンス低下、セキュリティインシデント発生で8割を超えていたものの、アクセス権限設定の仕様変更は47.4%だった。また、通知がサービスに関するページへの掲示のみというケースがあり、利用企業はSaaS事業者からの報告や通知の方式、その対象およびイベントなどをサービスレベルの観点で注目すべきだとしている。

 

COMMENTS


Recommended

TITLE
CATEGORY
DATE
リース、PayPay銀行と提携–クラウド上で家賃の入金確認ができるサービスを提供
IT関連
2022-08-07 05:56
「閃光のハサウェイ」劇場販売Blu-ray、5万枚突破 公開5日までに
くらテク
2021-06-20 03:51
Duality Labsはハードウェアアクセラレーション利用の準同型暗号テクノロジーで15.3億円のDARPA契約を獲得
人工知能・AI
2021-02-05 18:26
WasmバイナリをWin/Mac/Linuxで実行可能なバイナリファイルへ変換可能に「Wasmer 3.0」正式リリース
WebAssembly
2022-12-06 14:03
「Linux 5.17」正式リリース–セキュリティ修正やドライバー改善など
IT関連
2022-03-24 16:33
東電EP、AIによる電話応対を導入へ–対応の約75%を無人化
IT関連
2021-03-23 04:23
iPhoneのWi-Fiを無効化する有害なSSIDが新たに発見、Wi-Fi範囲内に入るだけで関連機能が使えなくなる
セキュリティ
2021-07-06 22:23
「Google Workspace」に複数のアップデート–個人事業主向けの新サブスクも
IT関連
2021-06-15 07:45
大林組とNTT Com、ドローン活用の完全無人巡回による建設現場の工事進捗管理を実証
IT関連
2024-03-29 11:33
発展する「納品のない受託開発」–ソニックガーデンの10年を予想
IT関連
2021-07-13 17:44
JavaでKubernetesを拡張できる「Java Operator SDK」が、Operator Frameworkの正式なサブプロジェクトに
Java
2023-04-25 11:29
第一生命保険、エクサウィザーズのAI開発環境を導入–書類のひな型作成に活用
IT関連
2023-11-03 23:47
串カツ田中とインフォマート、Restartzが外食店舗運営クラウドを正式リリース
IT関連
2022-11-06 19:27
プロダクトバックログDeep Dive。スクラムのプロダクトバックログをどう作成し、手入れし、スプリントに投入するべきか(中編)。Regional Scrum Gathering Tokyo 2022
DevOps / アジャイル開発
2022-01-11 23:21