クラウドサービス事業者におけるランサムウェア対策実態の独自調査結果

株式会社アシュアードが行った独自の調査では、クラウドサービス（SaaS/ASPなど）の事業者におけるランサムウェア対策の実情を詳細に分析しました。近年、企業を狙ったランサムウェア攻撃が増加しており、その影響は私たちの生活にも及んでいます。企業への直接的な攻撃のみならず、委託先が狙われることで、被害が拡大する「サプライチェーンリスク」の存在も見逃せません。

この調査は、3,887件のセキュリティ評価データに基づいており、その結果が明らかにするのは、ランサムウェアに対する対策が依然として十分ではないという現状です。具体的な調査結果では、脆弱性対策としてペネトレーションテストを実施している企業は4割以下、不正アクセス監視が実施されていない企業は約3分の1に上ることが示されています。また、高度なマルウェア対策を導入しているのは約40％に留まり、多要素認証を未実施の企業も4割に達しています。

主な調査結果

以下に、今回の調査結果の要点をまとめました。

1. 脆弱性対策

- ペネトレーションテストの実施: 39.6%
- セキュリティポスチャーアセスメントの実施: 27.8%

2. マルウェア対策

- EDR（Endpoint Detection and Response）未実施の企業: 約60%

3. アクセス制御

- 多要素認証未実施の企業: 約40%

4. 不正アクセス監視

- 適切な監視を未実施の企業: 約30%

5. バックアップ対策

- リストアテストを行っている企業: 48.1%
- バックアップデータの保護対策未実施: 約50%

6. BCP（事業継続計画）

- 実機訓練を含むBCP策定未実施の企業: 約60%

効果的なランサムウェア対策の必要性

ランサムウェア感染を未然に防ぐためには、まず「予防的対策」が重要です。アプリケーションの脆弱性診断が実施されている企業は75.1%ですが、ペネトレーションテストが行われているのは39.6%に過ぎず、適切なセキュリティの確保のためには、さらなる対策の強化が求められます。

次に、「早期検知対策」も欠かせません。攻撃者が侵入した際には、迅速に察知することが防御の鍵となります。しかし、適切な監視が行われていない企業が約3分の1に上ることは心配材料です。

最後に、「復旧対策」として、システムの復旧能力を高めるためには、高度なバックアップ対策が必要です。攻撃後にデータを復元するための体制を整えている企業が約半数に満たない状況は、この分野での改善が急務であることを示しています。

企業への提言

このようなセキュリティ対策の現実を踏まえ、クラウドサービスを利用する企業は、サービス提供者のセキュリティ対策を適切に評価し、将来的なビジネスリスクを低減させる努力が求められます。特に、復旧能力については契約時に確認し、継続的に見直すことが必要です。

今回の調査結果は、クラウドサービス事業者のセキュリティ対策が十分とは言えない状況を浮き彫りにしています。企業とサービスの信頼関係を築くためにも、この問題を軽視することはできません。今後より一層の対策強化が期待されるところです。