クラウドリスク評価「Assured」、掲載サービス1,000件突破！クラウドサービスのセキュリティ対策傾向を発表

​

• クラウドリスク評価「Assured」について

近年利用が急増するSaaS/ASPなどのクラウドサービスは、業務効率化などのメリットがある一方で、インターネットサービスならではのセキュリティリスクも潜んでいます。これらのリスクを適切に評価し、利用可否を判断をすることで、より安心・安全にクラウドサービスを利用し、事業や会社の成長に役立てることができます。
Assuredは、これまで各社が独自に行ってきたクラウドサービスのリスク評価を一元化することで、社会全体のクラウド利用加速を支え、DX推進に寄与することを目指しています。

この度、Assuredのウェブ評価機能によって得られたデータをもとに、各サービスのセキュリティ対策の傾向として特に顕著だったものを発表いたします。ウェブ評価機能とは、クラウドサービスの公開情報を自動解析し、セキュリティ対策状況を推定、スコアリングする機能で、客観的なセキュリティ情報を示しています。
 

• 約8%のサービスで、インターネット上に公開すべきではないサーバーが存在

ネットワークに関するセキュリティ対策については、約8%のサービスで関連するデータベースサーバー・ファイルサーバー等がインターネット上で発見できる状態であることが分かりました。

重要情報を保存するデータベースサーバー等は外部に公開せず、限られたネットワークのみに公開するなど、多層防御によりセキュリティを高めるべきとされています。意図せずインターネット上にサーバーが公開されている場合、不正アクセスによる重要情報の窃取等、サイバー攻撃の対象となる可能性があります。
 

• 約3割のサービスで、TLS1.0等の古い暗号化プロトコルを利用

通信経路のセキュリティ対策については、98%のサービスでSSLやTLSといったプロトコル（インターネット上でデータを暗号化して送受信する仕組み）を利用した通信経路の暗号化を実施していました。

一方で、そのうち約3割のサービスで、TLS1.0、TLS1.1といった比較的古い暗号化プロトコルが利用されていることが分かりました。ただし、重大な脆弱性が発見されているSSL3.0の利用はありませんでした。

IPAが発行するTLS暗号設定ガイドライン第3.0版（https://www.ipa.go.jp/security/ipg/documents/ipa-cryptrec-gl-3001-3.0.1.pdf）では、TLS1.0、TLS1.1については「安全性上のリスクを受容してでも（中略）利用せざるを得ないと判断される場合にのみ採用すべき」とされており、より新しい暗号化プロトコルへの移行が望まれています。
 

• なりすましメール対策でSPFを導入しているのは約8割、DMARCを導入しているのは約半数

メールのなりすましは、スパムやフィッシング攻撃で広く用いられる攻撃手法です。そうした攻撃は、クラウドサービス事業者側の対策によっても防止することが可能です。

その対策のひとつであり、メール送信元のなりすましを検知する仕組みである「SPF（Sender Policy Framework）」において、適切に設定しているサービスは76%程度でした。

また、SPF等の結果を活用し認証失敗時のポリシーを定める仕組みである「DMARC（Domain-based Message Authentication、Reporting and Conformance）」を設定しているサービスは、より少ない48%程度でした。

DMARCは、認証失敗時のメール処理方法を定めるだけでなく、自社のメールドメインが攻撃者に利用されていないかをモニタリングするうえでも有用な技術であり、クラウドサービス事業者はDMARCを導入することで自社のメールの信頼性をより高めることができると考えられます。


＜調査概要＞
・調査日：2022/11/28
・調査対象：Assuredに掲載中のクラウドサービス関連のウェブサイト
・調査件数：1004件
※本調査を引用される際には、「Assured調べ」と必ずご記載ください。
 

• Assuredウェブ評価機能 詳細

ウェブ評価機能は、2022年7月13日にリリースされたAssuredの新機能で、クラウドサービスの公開情報を自動解析し、セキュリティ対策状況を推定、スコアリングします。

調査結果のレポートはアプリケーション、ネットワーク、ドメイン、通信経路、メールの5カテゴリに分けてスコアリングされ、Assuredを利用するクラウドサービス利用企業様からの調査依頼などに基づき調査対象を選定し、本機能を用いて評価を行っています。

• 株式会社アシュアード 代表取締役社長　大森 厚志　コメント

企業がDXやデジタルを通じた生産性向上を目指していく上で、SaaS/ASPなどのクラウドサービス活用は必要不可欠です。そして、クラウド活用機運の高まりから、手軽に利用しやすいサービスも日に日に増加しています。

一方で、自社システムと比較した際には、セキュリティ対策の状況を把握しにくいため、業務や取り扱うデータの重要性・規模など、利用用途と照らしながら、適切にリスクの評価・管理を行っていくことが企業には求められています。

この度、Assuredの掲載サービス数が1,000件を超えたことをきっかけに、セキュリティ対策の傾向を分析したところ、上に挙げたような傾向が明らかになりました。こうした対策状況を踏まえ、サービスの利用可否を判断していくことで、より安心安全なクラウド活用を実現できます。

今後もAssuredは、クラウドサービスを利用する企業様、提供する事業者様双方にとって、セキュリティ向上に寄与する存在となれるよう邁進して参ります。

【クラウドリスク評価「Assured（アシュアード）」について】
Assuredは、国内外のクラウドリスク評価情報を一元化したデータベースです。セキュリティの専門資格を保有するリスク評価チームが、主要なセキュリティガイドラインやフレームワークに基づき調査した最新のセキュリティリスク評価情報を提供します。これにより、各社が独自で行ってきたクラウドリスク評価業務を効率化し、企業の安全なクラウド活用を実現します。
URL：https://assured.jp/
​

【Visionalについて】
「新しい可能性を、次々と。」をグループミッションとし、HR Tech領域を中心に、産業のデジタルトランスフォーメーション（DX）を推進するさまざまな事業を展開。「ビズリーチ」をはじめとした採用プラットフォームや、人財活用プラットフォーム「HRMOS」シリーズを中心に、企業の人材活用・人材戦略（HCM）エコシステムの構築を目指す。また、M&A、物流Tech、サイバーセキュリティ、Sales Techの領域においても、新規事業を次々に立ち上げている。
URL：https://www.visional.inc/