アシュアードは12月13日、同社が運営するセキュリティ関連サービス「Assured」と「yamory」で得た情報を踏まえた2023年のセキュリティ動向に関するプレス向け説明会を開催した。
2023年「SaaS」に関するセキュリティトピック
Assuredのサービス概要を説明した代表取締役社長の大森厚志氏は「SaaSやクラウドサービスの第三者評価プラットフォーム」だとし、「Assuredを見ていただければ(SaaSやクラウドの)製品の安全性が分かる。どれを使うべきであってどれは避けた方が良いのかが速やかに分かり、かつクラウドサービスの状況の変遷というものがリアルタイムに分かってくる。そうした安心/安全なクラウドサービス活用を推進するようなプラットフォームを提供している」と説明した。
続いて、セキュリティ評価責任者の早崎敏寛氏が「Assured独自データから見る2023年セキュリティ動向の振り返り」について説明した。同氏は、Assuredならではのデータとして「2023年のクラウドサービス事業者のセキュリティ未対策項目ToP10」を紹介した(図1)。これは、セキュリティの観点から導入/実施が推奨されるさまざまな対策のうち、実施率が低いものをランキング形式で整理したデータとなる。
上位を占めたのは「アクセス制御」で、デバイス認証やMACアドレス制限などの手法でデバイスを制限しているかどうかで、アクセス先別に「クラウド/SaaS事業者の自社従業員が利用するサービス運営のためのアカウント」が1位、「サービス利用者のアカウント」が2位、「クラウドサービスの開発、保守および運用において利用するインフラやデータベース、IaaSなどのアカウント」が4位となった。総じて、事業者の内部利用の場面での導入率が低い傾向だ。
早崎氏は「IPアドレス制限や多要素認証がメインになっていて、デバイス認証/MACアドレス認証の実施率は低いという傾向が見えている」と指摘するとともに、「IPアドレス制限も多要素認証もしておらず、単純にID/パスワードだけでやっているようなところはデバイス認証をした方がよい」と語った。3位に入ったのはバックアップデータの保護対策で、一般に「エアギャップ」や「イミュータブルストレージ」と呼ばれる手法となる。こちらに関しては「そこまではまだできていないところが多かった」とした上で、「対策の強化が推奨される」とした。
※クリックすると拡大画像が見られます
次に同氏が紹介したのは「2023年 SaaS事業者のランサムウェア対策実態」だ。ここでは、「脆弱性診断、ペネトレーションテスト実施は全て4割以下」「サーバーへのウイルス対策ソフトの導入は7割に満たず」「38.1%がインフラやデータベース、IaaSのアカウントについて、多要素認証等の認証方式を用いてアクセス制御できていない」「攻撃者の侵入検知のため、適切な監視を実施できているのは約7割」「リストアテスト実施は半数以下、バックアップデータを論理的に分離した環境に保存しているのは18.6%」といった結果が紹介された。
最後のトピックとして、早崎氏は「海外/国内SaaSのセキュリティ対策比較」を取り上げた。ユーザー側の認識としても、国内事業者のセキュリティ対策は海外の事業者に比べると遅れているのではないかと感じている人が多いと思われるため、興味深い調査と言えるだろう。具体的には、「主に日本企業が利用を検討している、国内に展開するグローバルなクラウドサービス」を「準拠法が日本法かその他の国であるか」に基づいて海外/国内を区別し、それぞれのセキュリティ対策について比較したという。
おおむね海外事業者の方が対策が進んでいるという予想通りの結果だが、国内と海外で異なる傾向が見られたのが「情報セキュリティまたは個人情報保護について取得している第三者による認証や評価(複数回答)」で、国内事業者ではISO/IECの27001/27017の取得率が海外を上回っている一方、海外事業者の多くが取得しているSOC2(Service Organization Control Type 2)は国内ではまだ取得している事業者がごく少ないという結果となっている(図2)。
※クリックすると拡大画像が見られます
「預託データへのアクセスや特権アカウントの利用に対するモニタリング」は海外事業者の9割以上が対応するなど、国内よりも徹底している。アクセス制御の実装手法では、「接続元IPアドレスによる接続経路制限」は国内事業者の方が多い一方、「多要素認証やリスクベース認証、シングルサインオンなどの適切な認証方式」は海外事業者の実施率が高いなど、国内の対応の遅れも見受けられる。このほか、「データの暗号化」「バックアップデータの保護」「ペネトレーションテスト実施率」「サーバーへのウイルス対策ソフトの導入」「セキュリティ対策に関係する各種監視」「IPS/IDS、WAFの導入」がいずれも海外事業者の方が進んでいる結果となった。
※クリックすると拡大画像が見られます
逆に国内事業者の方が高い結果となったのが「アクセス権限設定の仕様変更通知」で、「事前に通知」しているのは国内事業者で43.2%、海外では24.8%となっている。この結果について同氏は「国内事業者の方が利用者に優しい傾向がある一方、海外サービスの方は利用者に一定のスキルを求め、能動的に情報を取りにくることを期待している傾向が見られる」と分析した。