2024年SaaS事業者のセキュリティ対策に関する実態調査

先日、株式会社アシュアードが発表した2024年のSaaS事業者におけるセキュリティ対策に関する調査結果について、その概要と重要な結果を掘り下げていきます。この調査は、クラウドサービス業界におけるセキュリティガバナンスやリスク管理の実情を明らかにすることを目的としており、多くの業界関係者に注目されています。

調査の背景と目的

昨今、企業へのサイバー攻撃が増加し、その影響が取引先にまで及ぶことが問題視されています。特にSaaS事業者は、顧客のサプライチェーンの一部であり、リスクを共有しています。この事実を踏まえ、2024年時点でのSaaS事業者のセキュリティ対策を焦点にした調査が行われました。

この調査は1049件のデータをもとにしており、具体的な調査日には2024年12月5日が設定されています。調査の結果は、以下のような重要なポイントに集約されました。

1. セキュリティガバナンスの整備

調査によれば、多くのSaaS事業者がセキュリティガバナンスの強化に努めており、2023年と比較して、自社の体制が整備されていることが示されました。この傾向は、取引先の情報セキュリティの重要性が認識され、組織的な取り組みが進んでいる証拠です。

2. 開発工程におけるセキュリティ対策

開発段階でのセキュリティ対策については、8割以上の事業者がコーディングルールやレビューを実施しています。その一方で、脆弱性への未対応が目立つ現状があり、特にエンドオブライフ（EOL）やセキュリティパッチの適用率に関しては改善の余地があるとされています。

3. セキュリティ診断の実施率

2024年にはセキュリティ診断の実施率が増加しているものの、依然として3割から4割のSaaSが診断を行っていないという課題があります。このため、利用企業はサービス選定の際に、診断内容や頻度について確認が必要です。

4. バックアップ対策の進展

バックアップ対策についても、半数の事業者が論理的分離環境やオフラインストレージを採用しています。しかし、ランサムウェアの脅威を考慮すると、さらなる耐性のあるバックアップ環境の整備が求められます。

5. 利用企業向けの通知体制

障害時やパフォーマンス低下時の通知体制については、おおむね良好ですが、アクセス権限の変更に関する通知は不十分な場合があります。利用企業は通知方法をサービスレベルでしっかりと確認しておくことが重要です。

結論と今後の展望

調査結果を総括すると、全体的にSaaS事業者のセキュリティ対策は向上していますが、未実施の対策が依然として存在することも事実です。今後は、事業者間でのセキュリティ対策の質が大きく異なる可能性があり、それに応じたリスク管理がまさに求められています。企業はSaaSのセキュリティ対策の詳細を把握し、堅固なリスク管理体制を整える必要があります。引き続き、アシュアードはこの分野での安全なビジネス環境作りに注力していくことを目指します。