SaaS事業者が最もできていないセキュリティ対策は? 「実施率4.7%」:アシュアードSaaSセキュリティレポート
アシュアードは、SaaSのセキュリティ対策実態を調査したレポートを発表した。SaaS全体のセキュリティ水準は向上したが、インシデント発生後の復旧対策に遅れが見られる。
セキュリティ信用評価サービスを提供するアシュアードは2025年12月、「2025年のクラウドサービス(SaaS)セキュリティレポート」を公開した。「Assuredクラウド評価」サービスで2025年に実施した評価2609件のデータに基づいている。
昨今のサイバー攻撃リスクの高まりを受け、SaaS(Software as a Service)事業者のセキュリティ水準は全体的に向上している。一方で、インシデント発生後の「レジリエンス」(回復力)に課題がある実態が浮き彫りとなった。
実施率4.7% SaaS事業者が最もできていないセキュリティ対策は?
実施率の低いセキュリティ対策項目では、2024年の調査結果と比較して大きな差異はなかった。同社はセキュリティ対策として実施に時間やコストがかかるものが、結果的に実施率が低くなっていると推測している。
特に「アクセス制御」項目のサービス利用者に対するリスクベース認証は、4.7%と実施率が低かった。後述の多要素認証(MFA)実装率が上昇傾向ではあるものの、MFAが回避されるケースもあるので、SaaS事業者はIPアドレス制限を組み合わせるなどしてより安全なログイン環境にしていくことが重要だという。
防御対策の進展とレジリエンス対策の乖離
外部からの攻撃を直接的に防ぐ「防御」に関わる対策実施率は軒並み上昇した。
- 「ユーザー認証のMFAの実装」(53.0%、前年比4.5ポイント増)
- 「EOL(製品/サービスのライフサイクル終了)や脆弱性情報の収集」(82.5%、前年比7.5ポイント増)
- 「セキュリティパッチの適用」(87.7%、前年比5.5ポイント増)
一方、システム障害や攻撃被害からの回復を担う「レジリエンス」関連の対策には遅れが見られた。「リストア(復旧)テストの実施」は50.2%(前年比1.6ポイント減)、「実機を使った障害訓練」は35.0%(前年比0.9ポイント減)と、実施率は横ばいか微減となった。ランサムウェア(身代金要求型マルウェア)被害など広範囲のデータ損失リスクがある中で、復旧対策の遅れはSaaS利用企業にとって重大な懸念材料となり得るという。
SaaSにおけるAI活用の実態
SaaS提供におけるAI(人工知能)の利用/開発割合は49.1%となり、約半数のサービスでAI活用が進んでいる。AIガバナンスに関しては、「利用者向け利用規約の作成・明示」が60.9%(前年比6.8ポイント増)と進展が見られた。
利用企業が特に懸念する「預託データをAIの学習・チューニングに利用する」割合は、AI利用サービス全体の19.9%(前年比4.3ポイント減)に減少した。これはSaaS全体で見ると約1割に相当する。
アシュアードによるセキュリティスコアの全体傾向
2025年のセキュリティ評価において、全般的な対策が実施されている目安となるスコア「85点以上」が37.2%、70〜84点が35.4%で、「70点以上」の割合は合計で72.6%となった。前年と比較して増加傾向にある。同社は多くのSaaS事業者が標準的から高度なセキュリティ対策の導入を進め、サイバー攻撃リスクの高まりに対応しようとする姿勢の表れとしている。
一方、「70点未満」のサービスは27.4%だった。この層では基本的なセキュリティ対策に複数の懸念点が残っており、同社は利用企業の期待値に届かない可能性があるサービスが依然として約3割存在するとみている。
各スコアの定義(傾向)は次の通り。
- 「85点以上」:網羅的にセキュリティ対策が行われ、大きな懸念はない
- 「70〜84点」:全体的にセキュリティ対策がなされており、懸念はあるものの限定的な傾向にある
- 「60〜69点」:一定のセキュリティ対策がなされているものの、注意が必要な懸念点が複数ある傾向にある
- 「50〜59点」:セキュリティ対策が不十分な可能性がある
- 「50点未満」:全体的にセキュリティ対策が不十分な可能性がある
同社 Assured事業部 セキュリティエキスパートの真藤直観氏は「2025年は多くの組織でランサムウェアなどによる被害が表面化し、レジリエンスの重要性が再認識されている。調査結果からは、SaaSのセキュリティは『防御重視』の傾向が強く、『侵入前提・障害前提』の対策はまだ途上にある。利用企業は表面的な機能だけでなく、バックアップ/復旧体制が十分かどうかの確認が重要だ」とコメントしている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
「2025年の崖」乗り越えた企業は7%、40%に深刻な課題 要因は?
SmartHRは情報システム従事者1973人を対象にしたDXに関する実態調査の結果を公開した。DXの目的は効率化やコスト削減が多く、本来の目的を第一の目的とした企業は7%にとどまった。
中小企業の55%が11個以上のSaaSを利用 管理者の課題は?
ソニービズネットワークスは中小企業のIT資産管理およびセキュリティ管理に携わる担当者を対象にSaaS管理の調査結果を発表した。
約4割のSaaSがAIを利用 データ利用のルールが不明確なケースも アシュアード調査
アシュアードは、約4割のSaaSがAIを利用し、2割は預託データをAI学習に活用しているとの調査結果を発表した。データ利用のルールやポリシーが不明確なサービスも散見されるという。