【2023年セキュリティレポート Vol.1】SaaS事業者のランサムウェア対策実態

＜結果サマリー＞ ・脆弱性対策：脆弱性診断やペネトレーションテストの実施は4割以下。サーバーへのウイルス対策ソフトは33.2％が未導入 ・アクセス制御：38.1％がインフラやデータベース、IaaS等のアカウントについて、多要素認証等の認証方式を用いてアクセス制御できていない ・不正アクセス監視：約3分の1が、攻撃者の侵入を検知するための適切な監視を実施できていない ・バックアップ対策：リストアテスト実施は半数以下、バックアップデータを論理的に分離した環境に保存しているのは18.6％

• 調査背景
  〜クラウドサービス利用企業は、サービスを提供する事業者のランサムウェア対策状況の把握が必須〜

IPAから毎年発表される「情報セキュリティ10大脅威 2023」（※1）では、「ランサムウェアによる被害」が2021年から3年連続で1位に挙げられています。実際に2023年は多くの企業や組織でランサムウェアによる被害が拡大し、自社に対する攻撃だけでなく、利用するクラウドサービスが攻撃を受けたことによる情報漏えいやサービス停止等の被害も発生しました。こうしたインシデントを防ぐためには、クラウドサービスを利用する企業が、クラウドサービス事業者のランサムウェア対策を含むセキュリティ対策状況を把握し、安全性を確認することが重要です。

そこで、SaaS/ASPなどのクラウドサービスのセキュリティ対策状況を第三者評価するプラットフォーム「Assured」は、この度、2023年のセキュリティトレンドである「ランサムウェア」に対するクラウドサービス事業者の主な対策実態をAssured独自データ（Assuredがセキュリティ評価を実施したクラウドサービス：1002件が対象）からまとめ発表します。

• 結果概要

ランサムウェアへの対策は、大きく2つあります。まず1つ目にランサムウェアに感染しないための対策、2つ目はランサムウェアに感染したとしても、被害を最小限にし、早期に復旧するための対策です。Assuredで実施しているセキュリティ調査の項目から、これらの主な対策実態を取り上げます。

①ランサムウェアに感染しないための対策

脆弱性診断、ペネトレーションテストを実施しているのは4割以下。サーバーへのウイルス対策ソフトの導入は7割に満たず

ランサムウェアの感染自体を防ぐための対策として、利用しているネットワーク機器やOS、ソフトウェアに脆弱性を残さないよう対策することが重要です。警察庁のレポート（※2）では、VPN機器などのネットワーク機器やリモートデスクトップサービスからの侵入が大半を占めており、ネットワーク機器等の脆弱性や強度の低い認証情報が原因として挙げられています。

また、脆弱性対策漏れを検知するためには、脆弱性診断の実施、および、ペネトレーションテスト（攻撃者の視点で脆弱性から侵入を試みたときに目的達成できるか否かを検証するテスト）の実施が有効ですが、これらの対策実施率はすべて40%以下にとどまっています。

また、サーバーにウイルス対策ソフトを導入し、リアルタイムスキャン、定期的なウイルススキャンやパターンファイルを更新して最新の状態に保つことで、マルウェアやハッキングツール等を利用されるリスクを低減することができますが、33.2％でウイルス対策ソフトが導入がされていませんでした。

38.1％がインフラやデータベース、IaaS等のアカウントについて、多要素認証等の認証方式を用いてアクセス制御できていない

利用しているリモートデスクトップサービスやVPN機器等のネットワーク機器の脆弱性や強度の低い認証情報を利用してネットワークに侵入されるケースがあります。多要素認証やリスクベース認証、シングルサインオン等の認証方式を取り入れ、適切なアクセス制御を行うことで、悪意のある侵入を防ぐことができます。また、ネットワークに侵入されたとしてもネットワーク内のドメインコントローラや各種サーバーで適切な認証を実施することで被害を最小化することができます。こうした適切な認証方式でアクセス制限が出来ているのは61.9％にとどまり、約4割で実施出来ていないことが分かりました。

②ランサムウェアの感染に備えた対策

攻撃者の侵入を検知するため、適切な監視を実施できているのは約7割

ランサムウェアに感染しないための対策を実施していても、100%被害を防げるとは限りません。そのため、万が一ランサムウェアに感染してしまった場合でも、その被害を最小限に留める準備をしておくことも重要です。

攻撃者からの侵入や侵入された後の行動を検知するための監視を実施しているのは、「内部および外部からの不正アクセスや不正利用の監視（75%）」「サイバー攻撃の兆候監視（67.7％）」「不正なネットワークアクセスやリモートアクセスの監視（66.6％）」と、すべて70％前後の実施率となり、約3分の1で実施できていないことが明らかになりました。

攻撃者はネットワークに侵入後、外部のコマンド＆コントロール（C&C）サーバーと通信し、ネットワーク内を探索し侵害範囲を拡大していくため、外部のC&Cサーバーとの通信やネットワーク内で不審な通信が発生します。これらの通信をいち早く検知することで、万が一侵入されたとしても、被害を最小限に食い止めることができます。

• バックアップ対策でリストアテスト実施は半数以下、バックアップデータを論理的に分離した環境に保存しているのは18.6％

データが暗号化されてしまった後に復旧するためのバックアップ対策として、リストアテストを実施しているのは半数以下の46.2％で、バックアップデータが暗号化されないように「バックアップデータを論理的に分離した環境やオフラインストレージ、不変ストレージに保存している」対策を実施しているのは18.6％のみでした。

警察庁のレポート（※2）では、バックアップから完全に復元できた割合は約20％とされており、バックアップデータから正常に元の状態に復元できることを確かめるリストアテストの実施は必要不可欠です。また、バックアップデータがランサムウェアによって暗号化されてしまいリストアができないケースも発生しています。その対策として、論理的に分離した環境やオフラインストレージ、不変ストレージに保存することも推奨されます。

※1 出典：IPA「情報セキュリティ10大脅威 2023」（https://www.ipa.go.jp/security/10threats/10threats2023.html）

※2 出典：警察庁「令和５年上半期におけるサイバー空間をめぐる脅威の情勢等について」（https://www.npa.go.jp/publications/statistics/cybersecurity/data/R05_kami_cyber_jousei.pdf）

• Assuredセキュリティ評価責任者　早崎 敏寛（はやざき としひろ）による考察

本調査から分かるように、ランサムウェア対策が十分にできているクラウドサービスはそれほど多くなく、更なる対策が望まれている状況です。そのため、クラウドサービスを利用する企業は、クラウドサービス事業者のセキュリティ対策状況を確認し、安全性を可視化したうえで利用可否を判断していく必要があります。

ランサムウェアの多くが、VPN機器等のネットワーク機器の脆弱性やリモートデスクトップ等の強度の弱い認証情報を利用して侵入します。クラウドサービス事業者とその委託先の間で脆弱性対応の実施責任があいまいなために脆弱性の対応漏れが発生し、クラウドサービス事業者の委託先を経由して侵入してくることもあります。

そのため、侵入経路となるVPN機器やリモートデスクトップサービスの脆弱性対策を漏れなく確実に実施することが有効なため、以下のような侵入対策がクラウドサービス事業者側で実施できているかを確認することが重要です。

・ネットワーク機器、サーバー等の資産管理ルールの策定と資産管理台帳のメンテナンス

・脆弱性管理方針の策定および脆弱性の収集およびアップデート、脆弱性診断の実施

・クラウドサービスの開発、保守および運用において利用するインフラやデータベース、IaaS等のアカウントにおける多要素認証の実施

・クラウドサービス事業者と委託先間の脆弱性対応に関する役割と責任の明確化

その上で、以下のネットワークに侵入された後の対策もできているか確認することを推奨します。

・委託先を含めた外部や内部の不正な通信の監視

・サーバーへのウイルス対策ソフトの導入やEDR等の対策の実施

・バックアップから適切に復旧するためのバックアップデータの保護やリストアテストの実施

今後もAssuredは、ランサムウェアなどのセキュリティ脅威から身を守り、安心・安全なクラウド活用、そして社会全体のDX推進を支えていくビジネスインフラとしてサービス向上に努めてまいります。

【調査概要】

・調査件数：1002件

・調査日：2023年12月7日

・調査対象：Assuredのセキュリティ調査に回答済みのクラウドサービス事業者

※小数点第二位を四捨五入しているため、合計が100%にならない場合があります。

※本調査を引用される際には、「Assured調べ」と必ずご記載ください。

【セキュリティ評価プラットフォーム「Assured（アシュアード）」について】

Assuredは、SaaS/ASPなどのクラウドサービスの安全性を可視化するプラットフォームです。専門知識を有するセキュリティ評価チームが、主要なガイドラインやフレームワークに基づき、クラウドサービスのセキュリティ対策状況を調査し、その評価結果をデータベースに集約することで、効率的かつ高精度なセキュリティ評価を実現します。また、クラウドサービス事業者は、Assuredによるセキュリティ評価情報を用いて自社サービスの安全性を示すことができ、利用企業・事業者双方を繋ぐ役割として、企業の安全なクラウド活用、そして社会全体のDX推進を支えます。

URL：https://assured.jp/

X（旧Twitter）：https://twitter.com/AssuredJP

【Visionalについて】

「新しい可能性を、次々と。」をグループミッションとし、HR Tech領域を中心に、産業のデジタルトランスフォーメーション（DX）を推進するさまざまな事業を展開。「ビズリーチ」をはじめとした採用プラットフォームや、人財活用プラットフォーム「HRMOS」シリーズを中心に、企業の人材活用・人材戦略（HCM）エコシステムの構築を目指す。また、M&A、物流Tech、サイバーセキュリティの領域においても、新規事業を次々に立ち上げている。

 URL：https://www.visional.inc/