アシュアードは6月27日、同社が運営するセキュリティ評価プラットフォーム「Assured」が1月1日〜6月7日に実施したセキュリティ調査に対するクラウドサービス事業者の回答結果から、2024年上半期におけるセキュリティ対策について、実施率が低い上位10項目を発表した。
-
2024年上半期、SaaS事業者のセキュリティ未対策項目ワースト10(Assured調べ)
セキュリティ対策 実施率が低い上位10項目
クラウドサービスのセキュリティ対策の全体傾向として、セキュリティスコアが85点以上の割合が31.7%から21.9%に低下し、70点を下回る割合が30.4%から34.9%に増加。Assuredでは年に約3回評価項目を改訂しており、これがスコアの低下に影響していると考えられるという。サイバー攻撃が常に高度化しているため、継続的なセキュリティ対策の向上が必要だと同社は指摘する。
-
全体傾向:2024年上半期のクラウドサービスセキュリティスコア分布(Assured調べ)
1位、2位、3位はリスクベース認証が主になり、アカウント認証においてリスクベース認証の実施率が低い結果となった。リスクベース認証は、通常と異なるアクセスパターンや不審な振る舞いを検知した場合に追加の認証情報を要求する方法であり、多要素認証と組み合わせることでより強力なセキュリティ対策になると、Assuredセキュリティ評価責任者の早崎敏寛氏は指摘する。
4位、5位、6位はデバイス認証やMACアドレス制限などによるデバイスの制限となった。2023年に引き続き、アカウント認証においてデバイス認証やMACアドレス制限の実施率が低い。多要素認証が最も重要な対策であることから、対策が実施されていない場合でも多要素認証が実施されていれば問題ないケースが多いと同氏は解説した。
7位は」シングルサインオン(SSO)認証で、クラウドサービス事業者の従業員が利用するアカウント認証に関する調査によると、SSOの実施率は25.2%と低く、サービス利用者向けやインフラ、データベース、IaaS(Infrastructure as a Service)などの開発・運用におけるSSO実施率を下回っているという。
事業者の従業員が利用するサービス運営のための機能や管理画面は、従来の境界型防御の考えから認証機能が弱い傾向があり、境界型防御だけでは内部に侵入した攻撃者や内部不正に対して脆弱なため、ゼロトラストの考えに基づいたセキュリティ対策を講じることが重要とのことだ。
8位は「暗号化」鍵の利用をモニタリング。クラウドサービス事業者の50.6%が鍵管理システムを利用しているが、2023年も利用状況をモニタリングしているのは3割に満たない。鍵管理システムを導入することで鍵の利用履歴は記録されるが、適切な利用を確認するためにはモニタリングが不可欠だと同氏は指摘する。
9位は「サービスレベル」稼働実績を開示。クラウドサービス事業者の54.3%が稼働目標を設定しているものの、稼働実績を開示しているのは29.7%。SaaS(Software as a Service)はパブリッククラウド上に構築されることが多く、冗長化が行われないことがあるため、稼働実績が必ずしも高水準でないケースもあると想定される。その場合、開示した稼働実績によって利用者に不安をあたえることを懸念して、稼働実績を開示しないことも考えられるという。
10位は多要素認証となり、クラウドサービス事業者の従業員が利用するアカウント認証では、多要素認証の実施率が32.1%にとどまっている。事業者側の従業員のアカウント認証が脆弱な場合、サイバー攻撃や内部不正によってクラウドサービス事業者から情報漏えいやサービス停止のリスクが高まる可能性があるため、事業者側のアカウント認証についても、多要素認証などの強固な認証が実施されていることを確認することを早崎氏は推奨している。
