3割程度のSaaS事業者が標準的なセキュリティ対策をしていない アシュアードがSaaS事業者を調査：実施率が低いセキュリティ対策トップ10を発表

アシュアードは、クラウドサービス事業者の実施率が低いセキュリティ対策のトップ10を発表した。高度な攻撃に対するセキュリティ強化策やレジリエンス対策、利用企業のデータの適正管理に関する項目などが上位を占めた。

[＠IT]

　アシュアードは2024年12月16日、2024年におけるSaaS（Software as a Service）事業者のセキュリティ対策について実施率が低い項目のランキングを発表した。

実施率が低いセキュリティ対策のトップは？

　実施率が低いセキュリティ対策のトップは「クラウドサービス事業者の運営や開発、インフラ運営などに利用するアカウントに関するリスクベース認証」で、実施率は2.4％。2位は「サービス利用者のアカウントに対するリスクベース認証」で、実施率は3.9％だった。

2024年のクラウドサービス事業者のセキュリティ未対策項目TOP10（提供：アシュアード）

　アシュアードの真藤直観氏（セキュリティエキスパート）は「2023年に比べて、多要素認証（Multi-Factor Authentication：MFA）の導入やSAML（Security Assertion Markup Language）認証などによるIDaaS（Identity as a Service）連携が広まってきており、認証強度という点では強化されている。リスクベース認証を多要素認証とともに利用することで、認証情報の窃取による不正ログインのリスクを低減できる」と分析している。

　3位は「設定診断（セキュリティポスチャアセスメント）の実施」で、実施率は22.0％。6位は「第三者によるペネトレーションテストの実施」で、実施率は41.0％。SaaS事業者の大部分はAmazon Web Services（AWS）などのIaaS（Infrastructure as a Service）を利用しており、SaaSの安全性やデータ管理の観点から、システムの構成や設定などの管理が重要だとアシュアードは指摘する。

　真藤氏は「ペネトレーションテストの実施率は、2023年の25％程度から2024年は40％超へと増加しているものの、プラットフォームへの脆弱（ぜいじゃく）性診断（実施率63％）やアプリケーションへの脆弱性診断（同73％）と比べると実施率は低く、今後を期待したい」としている。

SaaS事業者のセキュリティスコア分布、優秀なのは何割？

　アシュアードは、「ISO／IEC 27001」や「ISO／IEC 27017」「NIST SP800-53」、総務省や経済産業省のガイドライン、各種業界別ガイドラインなどに基づき、SaaSのセキュリティ対策状況を調査してスコアリングしている。同社は、各種ガイドラインや事例などを基に、一般的に期待されるセキュリティ対策が実施されていることの目安として、スコアが70点程度になるよう設問を設計している。2023年の同調査で70点以上のSaaSは69.5％だったが、2024年の調査では71.5％と増加した。

2024年のクラウドサービスセキュリティスコアの比較（提供：アシュアード）

　スコア70点以上の分布を見ると、85点以上（網羅的にセキュリティ対策が行われており、大きな懸念はない）が29.9％、70〜84点（全体的にセキュリティ対策がなされており、懸念はあるものの限定的な傾向にある）が41.6％、60〜69点（ある程度のセキュリティ対策はなされているものの、注意が必要な懸念点が複数ある傾向にある）が14.8％、50〜59点（セキュリティ対策が不十分の恐れがある）が7.8％、50点未満（全体的にセキュリティ対策が不十分な恐れがある）が5.9％。2024年は70〜84点の割合が増加した。

2024年のクラウドサービスセキュリティスコア分布（提供：アシュアード）

　SaaS全体でセキュリティ対策が進んでいるといえる。一方で、2023年と同様に69点未満のSaaSが3割程度ある。アシュアードは「3割程度のSaaSが標準的なセキュリティ対策状況を下回る恐れがあることを念頭に利用を検討する必要がある」としている。