2024年クラウドサービス事業者のセキュリティ対策に関する調査結果

2024年クラウドサービス事業者のセキュリティ対策調査結果

株式会社アシュアード（所在地：東京都渋谷区）が運営するセキュリティ評価プラットフォーム「Assured」は、2024年におけるクラウドサービス（SaaS）事業者のセキュリティ対策について調査を行い、実施率が低い項目TOP10を発表しました。これは、利用企業がサイバーセキュリティリスクを適切に管理するために、大変重要なデータです。

調査の背景

Assuredは、クラウドサービスのセキュリティを専門に評価するプラットフォームです。専門家チームがSaaSのセキュリティ対策状態を調査し、スコアを付与し、データベースに結果を集約します。本調査は、国際的なガイドラインやフレームワークに基づく120以上の項目から成る独自のフォーマットを使用しています。このような方法で、より良いセキュリティ管理の実現を目指しています。

昨年の調査結果に続き、本年もSaaS事業者のセキュリティ対策状況をまとめ、業界全体の傾向を探りました。

全体傾向

2024年の調査では、70点以上のスコアを獲得したSaaSは71.5%に達しました。これは、昨年の69.5%からの改善を示しており、全体的にセキュリティ対策が進展していることを意味します。ただし、スコア70点未満のSaaSが3割を占める現状は変わらず、利用企業はこれに注意が必要です。

さらに、85点以上のスコアを持つSaaSの割合が微減しており、追加した項目や実施頻度の低下が影響していると考えられます。特に高いセキュリティが求められる事業者は、事前に求められる対策を確認することが大切です。

セキュリティ未対策項目TOP10

調査によれば、SaaS事業者が対応が不十分とされる項目には、以下のような内容が挙げられます。

1. リスクベース認証の導入
- MFA（多要素認証）の導入が広まっているが、依然として認証情報の窃取による不正ログインのリスクが残っています。リスクベース認証の適用が強く推奨されます。

2. セキュリティポスチャーアセスメントの実施
- 情報漏洩を防ぐための設定診断が重要視されており、インフラやアプリケーションの診断が遅れている点が懸念されます。

3. ペネトレーションテストの実施
- 今回の調査で40%超の実施率が見られましたが、依然として浸透が不足しており、今後の普及が求められます。

4. 定期訓練によるBCPの実効性確認
- BCPの策定はおおむね行われていますが、実行力の確認が不足している企業が多く見られます。

5. 暗号鍵のモニタリングや更新・廃棄
- 暗号化は多くのSaaSで導入されていますが、鍵管理においては実施率が低く、管理体制の強化が必要です。

6. ユーザー要望によるデータの削除
- 利用終了後のデータ保持については、明確なルールが求められています。

7. インフラへのリモートアクセス管理
- アクセス承認を事前に求める制度が未整備なサービスが少なくありません。

8. アカウントロック機能の強化
- 認証の強化が求められる中、アカウントロック機能の活用が不十分な実態があります。

9. アクセス権限変更時の事前通知
- プライバシーの観点から、権限変更の通知が重要視されています。

これらの結果は、SaaS事業者にとっては負担がかかりますが、セキュリティ環境の整備が進んでいるという好兆候も示しています。

まとめ

2024年の調査により、クラウドサービスのセキュリティ対策の進捗状況が把握されました。企業は、自社の利用するSaaSのセキュリティ対策を確認し、適切な運用ルールを設けることが求められます。特に高度なセキュリティが必要とされる場合には、予め必要な対策を理解しておくことが重要です。これからも、誰もが安心して利用できるセキュリティ対策のさらなる普及が期待されます。