SaaS事業者が最もできていないセキュリティ対策は? 「実施率4.7%」アシュアードSaaSセキュリティレポート

アシュアードは、SaaSのセキュリティ対策実態を調査したレポートを発表した。SaaS全体のセキュリティ水準は向上したが、インシデント発生後の復旧対策に遅れが見られる。

» 2026年01月13日 13時00分 公開
[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 セキュリティ信用評価サービスを提供するアシュアードは2025年12月、「2025年のクラウドサービス(SaaS)セキュリティレポート」を公開した。「Assuredクラウド評価」サービスで2025年に実施した評価2609件のデータに基づいている。

 昨今のサイバー攻撃リスクの高まりを受け、SaaS(Software as a Service)事業者のセキュリティ水準は全体的に向上している。一方で、インシデント発生後の「レジリエンス」(回復力)に課題がある実態が浮き彫りとなった。

実施率4.7% SaaS事業者が最もできていないセキュリティ対策は?

 実施率の低いセキュリティ対策項目では、2024年の調査結果と比較して大きな差異はなかった。同社はセキュリティ対策として実施に時間やコストがかかるものが、結果的に実施率が低くなっていると推測している。

セキュリティ未対策項目TOP10(提供:アシュアード

 特に「アクセス制御」項目のサービス利用者に対するリスクベース認証は、4.7%と実施率が低かった。後述の多要素認証(MFA)実装率が上昇傾向ではあるものの、MFAが回避されるケースもあるので、SaaS事業者はIPアドレス制限を組み合わせるなどしてより安全なログイン環境にしていくことが重要だという。

防御対策の進展とレジリエンス対策の乖離

 外部からの攻撃を直接的に防ぐ「防御」に関わる対策実施率は軒並み上昇した。

  • 「ユーザー認証のMFAの実装」(53.0%、前年比4.5ポイント増)
  • 「EOL(製品/サービスのライフサイクル終了)や脆弱性情報の収集」(82.5%、前年比7.5ポイント増)
  • 「セキュリティパッチの適用」(87.7%、前年比5.5ポイント増)

 一方、システム障害や攻撃被害からの回復を担う「レジリエンス」関連の対策には遅れが見られた。「リストア(復旧)テストの実施」は50.2%(前年比1.6ポイント減)、「実機を使った障害訓練」は35.0%(前年比0.9ポイント減)と、実施率は横ばいか微減となった。ランサムウェア(身代金要求型マルウェア)被害など広範囲のデータ損失リスクがある中で、復旧対策の遅れはSaaS利用企業にとって重大な懸念材料となり得るという。

防御対策と復旧対策の実施率比較(提供:アシュアード

SaaSにおけるAI活用の実態

 SaaS提供におけるAI(人工知能)の利用/開発割合は49.1%となり、約半数のサービスでAI活用が進んでいる。AIガバナンスに関しては、「利用者向け利用規約の作成・明示」が60.9%(前年比6.8ポイント増)と進展が見られた。

 利用企業が特に懸念する「預託データをAIの学習・チューニングに利用する」割合は、AI利用サービス全体の19.9%(前年比4.3ポイント減)に減少した。これはSaaS全体で見ると約1割に相当する。

AI活用状況とガバナンス項目の実施率(提供:アシュアード

アシュアードによるセキュリティスコアの全体傾向

 2025年のセキュリティ評価において、全般的な対策が実施されている目安となるスコア「85点以上」が37.2%、70〜84点が35.4%で、「70点以上」の割合は合計で72.6%となった。前年と比較して増加傾向にある。同社は多くのSaaS事業者が標準的から高度なセキュリティ対策の導入を進め、サイバー攻撃リスクの高まりに対応しようとする姿勢の表れとしている。

 一方、「70点未満」のサービスは27.4%だった。この層では基本的なセキュリティ対策に複数の懸念点が残っており、同社は利用企業の期待値に届かない可能性があるサービスが依然として約3割存在するとみている。

 各スコアの定義(傾向)は次の通り。

  • 「85点以上」:網羅的にセキュリティ対策が行われ、大きな懸念はない
  • 「70〜84点」:全体的にセキュリティ対策がなされており、懸念はあるものの限定的な傾向にある
  • 「60〜69点」:一定のセキュリティ対策がなされているものの、注意が必要な懸念点が複数ある傾向にある
  • 「50〜59点」:セキュリティ対策が不十分な可能性がある
  • 「50点未満」:全体的にセキュリティ対策が不十分な可能性がある
SaaSのセキュリティスコア(提供:アシュアード

 同社 Assured事業部 セキュリティエキスパートの真藤直観氏は「2025年は多くの組織でランサムウェアなどによる被害が表面化し、レジリエンスの重要性が再認識されている。調査結果からは、SaaSのセキュリティは『防御重視』の傾向が強く、『侵入前提・障害前提』の対策はまだ途上にある。利用企業は表面的な機能だけでなく、バックアップ/復旧体制が十分かどうかの確認が重要だ」とコメントしている。

Copyright © ITmedia, Inc. All Rights Reserved.

アイティメディアからのお知らせ

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2026
人に頼れない今こそ、本音で語るセキュリティ「モダナイズ」
4AI by @IT - AIを作り、動かし、守り、生かす
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

@ITについて

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。