2024年12月16日、アシュアードが運営するセキュリティ評価プラットフォーム「Assured(アシュアード)」は、2024年におけるクラウドサービス(SaaS)事業者のセキュリティ対策について、実施率が低い項目TOP10を発表した。
Assuredでは、各種ガイドラインや事例などをもとに、一般的に期待されるセキュリティ対策が実施されていることの目安として、スコアが70点程度になるよう設問・配点を設計。2023年の調査では70点以上のSaaSは69.5%だったが、2024年の調査では71.5%となった。
70点以上の分布を見ると、特に70点〜85点未満のゾーンが占める割合が増加している。一方で、70点を下回るSaaSが3割程度あるという分布状況は、昨年から大きく変わっていない。また、85点以上のスコアの割合が微減。これは、新たに追加されたAssuredの設問項目や、実施頻度の低下などにより、スコアが下がったものと考えられるという。
セキュリティ未対策項目TOP10は、以下の画像のとおり。
実施率が低い10項目について、全体的に見ると次の3つのポイントに関連する未対策項目が見られると同社は述べる。
- SaaSに対する高度な攻撃に対するセキュリティ強化策
- SaaSのレジリエンス対策
- 利用企業のデータの適正管理
いずれの対策もSaaS事業者にとっては負担となるが、昨年よりも実施率が増加している項目もあり、傾向としてはユーザーがより安心してSaaSを利用できる環境整備が進んでいるという。一方で、高度なセキュリティ対策やレジリエンス対策に関する未実施など、業務の中核アプリケーションとしてSaaSを利用する場合の不安要素となる項目も。また、データの管理などは、利用企業側でも注意を払う必要があるという。同社は、利用するSaaSがどのようなセキュリティ対策が取られているのか確認すること、企業内での利用・運用ルールを整備することが重要だと述べた。
調査概要
- 調査件数:1049件
- 調査日:2024年12月5日
- 調査対象:Assuredのセキュリティ調査に回答済みのクラウドサービス事業者
【関連記事】
・セブン銀行、「Assured」導入 100以上のクラウドサービスのリスク評価にかける対応工数削減へ
・65%以上の企業が「シャドーIT対策」を行っていないことが明らかに──Assured調べ
・脆弱性診断・ペネトレーションテストの実施は4割以下──Assuredランサムウェア対策実態調査
