アシュアードは12月11日、クラウドサービス(SaaS)のセキュリティ対策状況について分析した結果を発表した。基本的なセキュリティ対策が不足しているSaaSが27.4%を占め、ユーザーに有事などへ備えた取り組みも必要とされる実態が分かった。
同社は、転職支援サービス「ビズリーチ」などを展開するビジョナルのグループ企業。ビジョナルの各種サービスの開発や運用で培ったセキュリティの経験を事業として手掛ける。2022年からSaaSの第三者セキュリティ評価サービス「Assured」、2025年6月からは取引先などのセキュリティ状況を評価する「Assured企業評価」も提供し、これまで1500社以上が利用しているという。今回発表した分析結果は、これらの評価サービスに基づく。
SaaS提供側の7割以上は基本的なセキュリティ対策水準を満たしているという
同社の評価では、セキュリティ対策状況をスコアリングし、70点をしきい値としている。「網羅的に対策が講じられ、大きな懸念はない」とする85点以上のSaaSは全体の37.2%、「全体的に講じられ、懸念はあるが限定的」とする70~84点は35.4%だった。基本的なセキュリティ対策が不足しているとする70点未満は27.4%で、「全体的に対策が不十分な可能性がある」とする50点未満は6.7%だった。
アシュアード Assured事業部セキュリティエキスパートの真藤直観氏
Assured事業部セキュリティエキスパートの真藤直観氏は、2023~2025年の経年変化で、SaaS全体としてセキュリティ対策が向上しているものの、ユーザーの期待値に届かない70点未満のSaaSが一定の割合で存在すると指摘する。
SaaS提供側が講じていない対策のトップは、「ユーザーのアカウントに対するリスクベース認証」で実施率が4.7%にとどまる。以下は「暗号鍵の利用モニタリングと鍵の分類や更新‧破棄」(27.6%)、「設定診断の実施」(29.3%)、「災害や大規模なシステム障害に備えたBCP(事業継続計画)を定め、定期的に訓練を実施」(35.0%)、「ユーザーの要望による預託データの削除処理および削除証明書の発行」(39.8%)、「第三者による侵入テストの実施」(40.3%)などだった。
2024~2025年にSaaS提供側の取り組みが進んだ対策は、製品サポート終了や脆弱性情報の収集(7.5ポイント増)、アプリの脆弱性検査(5.8ポイント増)、セキュリティパッチの適用(5.5ポイント増)、多要素認証の実装(4.5ポイント増)といったサイバー攻撃などの防御に関わるものが中心だった。
また、技術的な評価の実施状況では、SaaSを提供するためのインフラ(OSやネットワークなど)の脆弱性診断(68.0%)やアプリの脆弱性診断(78.9%)と高い反面、設定診断(29.3%)や第三者による侵入テストなど高度な内容は低く、真藤氏によれば、高度な診断にかかるコストや手間がSaaS提供側にとって課題だという。
ランサムウェアなどへの対策やサービス復旧に関するSaaS提供側の取り組みでは、リモートアクセスやインフラへのアクセスの監視(67.5%)、インシデント訓練の実施(57.0%)、復旧テストの実施(50.2%)などが上位だった。ただ、2024~2025年で実施率に大きな変化は見られず、安全・安定のサービスの取り組めている提供者とそうではない提供者が固定化している恐れがあるという。
ユーザーに安定したサービスを提供する取り組み状況は提供事業者によって違いがある
SaaS提供者におけるAIの利用・開発は49.1%で、2024年から5.1ポイント増加した。ユーザー向けに利用規約を作成・明示する提供者は6.8ポイント増の60.9%、AIの出力結果や判断根拠を定期的に評価しているのは1.6ポイント増の59.6%、ユーザーからの預託データをAIの学習やチューニングに利用しているのは4.3ポイント減の19.9%だった。
真藤氏は、SaaS提供側のセキュリティが防御策を中心に向上しているものの、不正アクセス攻撃などを受ける前提での対策は途上にあり、万一の際には預託データを含めて広範囲の被害が発生したり回復に時間がかかったりするリスクが残ると解説する。
ユーザーは「SaaSならセキュリティも安心」とつい捉えがちだが、提供者によって取り組みが異なる実態がある。真藤氏はユーザーに、リスク管理の目安となる感覚値を持っておくこと、提供者側の取り組み実態を把握すること、SaaSの提供が停止した際の影響を洗い出しておくこと、ユーザー自身が把握できていないSaaS利用を再点検することが大切だと述べている。
Amazonのアソシエイトとして、CNET Japanは適格販売により収入を得ています
