アシュアード、2023年における海外SaaSと国内SaaSのセキュリティ対策を比較したレポートを公開

　アシュアードは、同社が運営するセキュリティ評価プラットフォーム「Assured（アシュアード）」において、2023年における海外のクラウドサービス（SaaSなど）と国内のクラウドサービスのセキュリティ対策状況を比較し、その傾向を発表した。

　世界中でサイバー攻撃の脅威が拡大する中、日本国内のセキュリティ意識はデジタル先進国の各国から遅れをとっている状況と言える。アメリカとの比較では、サイバーセキュリティ対策への投資額が5000万円以上の企業がアメリカは71％であるのに対し、日本は32％という調査結果（出典：IPA「企業のCISOやCSIRTに関する実態調査2017-調査報告書-」）もあり、セキュリティ投資が十分でない状況が伺える。

　そこで、SaaS／ASPなどのクラウドサービスのセキュリティ対策状況を第三者評価する「Assured」は、2023年のセキュリティトレンド総括として海外／国内サービスのセキュリティ対策状況を比較し、その傾向を発表した。

　調査レポートの詳細は以下の通り（Assured調べ）。

第三者認証取得

　国内でSOC2を取得しているサービスは8.6%のみ。ISO/IEC 27001は海外、国内ともに半数以上が取得

　国内サービスでは、ISMS（ISO/IEC 27001）を取得している割合が60.2％と海外サービスの50.7％よりも高く、反対にSOC2を取得している割合が8.6％と、海外の59.2％と比較して著しく低いことがわかった。

　SOC2は、一般的にクラウドサービスプロバイダーやデータセンターの事業者を対象に、米国公認会計士協会（AICPA）が定めたトラストサービス規準（Trust Service Criteria）に従って、事業者の扱うシステムに対するセキュリティが評価されるもの。「政府情報システムにおけるクラウドサービスの適切な利用に係る基本方針」でも、第三者による認証や各クラウドサービスの提供している監査報告書を利用することの重要性が記されており、日本国内でもSOC2への対応が推奨される動きが出始めている。

預託データのアクセス管理

　預託データへのアクセスのモニタリング未実施は国内12.5％に対し、海外は3.6％。特権アカウント利用のモニタリング未実施は国内は11.1％、海外は2.4％にとどまる

　預託データへのアクセスや特権アカウントの利用に対するモニタリングは、海外サービスの方が徹底されている傾向にある。預託データへのアクセスログのモニタリングについては、海外では95.1％（文書化や定期的な見直しの有無に関わらず）でほぼ必須の対策になっているのに対し、国内は86.2％にとどまり、1割以上が未実施。また特権アカウントを用いた情報資産へのアクセスの記録、モニタリングについては、海外サービスは95.7％の実施、国内は87.6％となった。

　これらの管理・統制が求められるSOC2の取得率は海外サービスの方が多いこともあり、預託データや特権アカウントの管理・統制面は、海外サービスの方が徹底した対応がなされている傾向があることが伺える。

アカウント認証

　多要素認証の実施率、海外は86.1％の一方、国内は53.9％。国内はIPアドレスによる制限が多数

　アカウント認証では、国内サービスはIPアドレス制限の実施率が67.1％と海外サービスの40.4％と比較しても多い結果となった。一方で、多要素認証等の対策は約半数の46.1％が実施できていないことが明らかになった。海外サービスは多要素認証等の対策ができている割合が86.1％と高く、これらの対策が標準になっていることが伺える。

　総務省「クラウドサービス提供における情報セキュリティ対策ガイドライン」に記載のベストプラクティスでも、アクセス制御となりすまし対策として高い機密性、完全性が求められるサービスでは多要素認証の採用が推奨されている。

預託データの暗号化

　データベースやファイルの暗号化は海外サービスは9割以上が実施、一方国内サービスは4つに1つが未実施

　預託データの暗号化は海外サービスでは93.3％の実施率で、アメリカのNISTのCybersecurity FrameworkやSP800-53の要求事項にもあることから、ほぼ必須の対策となっていることが伺える。一方で、国内サービスでは25.6％が未実施と、4つに1つのサービスで暗号化の実施ができていない。サービスの性能への影響を懸念して対策していなかったり、利用しているIaaSなどの仕様を把握していなかったりすることが、実施率が低い理由になっていると想定される。

バックアップ対策

　バックアップは取得しているものの、国内サービスは遠隔地保管やリストアテストの実施率が低い傾向

　昨今被害が拡大しているランサムウェア対策としても、被害を最小化するためにバックアップ対策は重要な施策。国内サービスにおいては、バックアップ自体は取得しているものの、遠隔地保管は52.9％（海外サービス70.0％）、リストアテストの実施率は43.8％（海外サービス60.7％）と、いずれも海外より低い結果となった。警察庁のレポート（出典：警察庁「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」）では、バックアップから完全に復元できた割合は約20％とされている。バックアップを取得するだけでなく、実際にリストアができるようにこれらの対策を実施することが重要だが、国内における実施率は低い結果となった。

外部攻撃対策

　ペネトレーションテストの実施率は海外では約半数にのぼるが、国内は約2割。サーバーへのウイルス対策ソフト導入は国内サービスが遅れをとる

　実際にシステムなどへの侵入を試みることでセキュリティ対策を評価するペネトレーションテストは海外サービスでは約半数におよぶ44.3％が実施しており、海外では標準になりつつあることが伺える。一方で、国内で実施できているのは22.2％のみ、約8割のサービスで未実施の状況で、海外のセキュリティ標準から遅れをとっている。

　またサーバーへのウイルス対策ソフトの導入率も国内サービスの方が低く、海外では84.9％の導入率に対し、国内は63.3％にとどまっている。サービスの性能への影響を懸念して対策していなかったり、利用しているIaaSなどの仕様を把握していなかったり、またLinuxにはウイルス対策が不要であるといった認識により対策率が低くなっていると想定される。

監視

　セキュリティ対策に関係する各種監視は海外サービスの方が実施率が高い

　内部不正対策やサイバー攻撃、リモートアクセスといったセキュリティ対策に関係する監視は、「社内ルール違反等の挙動監視」（実施：国内48.9％／海外74.6％）、「内部および外部からの不正アクセスや不正利用の監視」（実施：国内73.3%／海外89.7％）、「サイバー攻撃の兆候監視」（実施：国内63.7％／海外87.9%）、「不正なネットワークアクセスやリモートアクセスの監視」（実施：国内62.6％／海外78.8％）と、すべて国内サービスの方が実施率が低く、海外サービスの実施率が高い傾向にあった。

アクセス制限

　IPS/IDS、WAFの導入は、海外に比べると国内では進んでいない

　ネットワーク／サーバーへの異常な通信や不正なアクセスを検知・防御するシステムであるIPS/IDSは海外サービスでは88.0％で導入されているが、国内サービスでの導入率は68.9％にとどまっている。DoS/DDoS攻撃などのOSやWebサーバーなどの脆弱性を突いた攻撃や、負荷をかける攻撃への対策として有効なものであり、すべてのサービスで導入が推奨される。

　またWebアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護するWAFにおいても、海外サービスでは85.3％で導入されているが、国内サービスでの導入率は73.7％にとどまっている。

仕様変更の通知

　アクセス権限設定の仕様変更通知は、国内サービスは43.2％に対し、海外サービスは24.8％にとどまる

　仕様変更についての事前通知は国内サービスの方が43.2％と、海外サービスの24.8％と比較して高い傾向にあった。海外サービスを利用する場合は、仕様変更が事前に通知されないことが多いため、仕様変更などの利用サービスに関する情報を把握するための社内体制や仕組みを整えておく必要がある。

2023年の総括および2024年の動向予測

　2023年はChatGPTが大きな話題となり、他の生成AIや生成AIを組み込んだSaaSなどのクラウドサービスが多く登場した。当初セキュリティなどへの懸念から生成AIの業務利用に二の足を踏む企業が多かった印象だが、活用事例が多数公表されるとともに生成AIのセキュリティ対策が向上した結果、業務への利用が加速した。

　2024年は引き続き生成AI関連のクラウドサービスが登場し、玉石混淆の様相を呈することが想定される。新規事業や事業強化にクラウドサービスを活用したものの、そのクラウドサービスでセキュリティインシデントが発生した場合、事業への影響は避けられない。そのため、安心して利用できるクラウドサービスを選定することは事業継続にとって重要な要素となる。