IPA「情報セキュリティ白書2024」を解説（セキュリティ評価プラットフォーム「Assured」）

Visionalグループの株式会社アシュアード（所在地：東京都渋谷区/代表取締役社長：大森 厚志）が運営するセキュリティ評価プラットフォーム「Assured（アシュアード）」（https://assured.jp/）は、2024年7月30日に情報処理推進機構（IPA）から刊行された「情報セキュリティ白書2024」についての解説を公開します。

本白書では、情報セキュリティに関する国内外の政策や脅威の動向、インシデントの発生状況、被害実態など定番トピックの他、その年ならではの象徴的なトピックが取り上げられています。今回はその中でも「クラウドのセキュリティ」のトピックについて、弊社の調査事例も交えて解説します 。

クラウドサービスの利用状況

白書では、SaaS導入企業が2023年度は6割を超え、実際に導入した企業では8割以上が効果を実感しているという調査結果が紹介されており、クラウドサービスの普及について「クラウドサービスの利用はもはや特別な選択肢ではなく、定着しつつあると思われる」と言及しています。

クラウドサービスにおけるインシデント事例

クラウドサービス活用が推進される一方で、セキュリティインシデントも発生しており、白書では下記のような事例を取り上げていました。

クラウドサービス利用時におけるクラウドサービス事業者と利用者側の責任範囲については「責任共有モデル」が定義されており、「アカウント管理」や「アクセス制御」等に関して適切な設定を行い、安全にサービスを利用することは利用者側の責任となります。

例えば、今回のインシデント事例「(a)SaaS利用時の設定ミス」については、Assuredでも実態調査（※1）を行っており、半数以上がアクセス権限設定の仕様変更時に事前通知をしていない等の実態も明らかになっています。

また、このようなインシデントが発生する背景について、白書では「社内のセキュリティ担当の目の届かないところでも容易に導入できてしまうSaaS の手軽さがあると推察される。また、クラウドサービスの性質上、サービスの機能やデータには一般にインターネットを経由したアクセスが可能であるため、これが漏えいの可能性とも結び付く」と言及しています。会社の許可なく利用されているクラウドサービスは「シャドーIT」と呼ばれ、情報漏えい等のリスクを大きく引き上げます。Assuredの調査（※2）では、大手企業の約9️割がシャドーIT対策に課題があることが明らかになっています。

「（b）IaaS/PaaS利用時の設定ミス」については、悪意のない人為的なミスで発生する場合があります。人が作業する以上、このようなミスを無くすことはできないため、セキュリティ上の不備がある設定値が投入された場合に検知できる仕組みが必要となります。IaaS/PaaSにおける設定値を検査するソリューションとして「CSPM（Cloud Security Posture Management）」があり、こういった製品を導入していくことも対策の一つとなります。例えば、弊社サービスである脆弱性管理クラウド「yamory」（https://yamory.io/）も「クラウド設定管理（CSPM）」機能を有しています。

また、「（2）サイバー攻撃によるインシデント事例」では、「（b）ランサムウェア攻撃の事例」や「（c）業務委託先経由のサイバー攻撃の事例」についても取り上げられていました。ITサプライチェーン全体でセキュリティ水準を担保することは、攻撃が激化する昨今では必須の事項となっています。Assuredが実施したクラウドサービス事業者のランサムウェア対策実態調査（※3）では、約3割でウイルス対策ソフトが導入されておらず、バックアップ対策としてリストアテストを実施しているのは半数以下という結果が出ています。また、サプライチェーン管理の実態調査（※4）では、約6割が開発、保守・運用業務を外部委託するなか、そのうち約2割は委託先と「セキュリティ対策」や「情報の削除」を合意していないことも明らかになっています。

クラウドサービスのセキュリティの課題と対策

上記のような状況やインシデント事例を踏まえ、クラウドサービスのセキュリティに関する課題と対策について下記のような例を白書では挙げていました。

パスワード認証に代わる「（スマートフォン等を用いた生体認証による）パスキー認証」の利用・導入による認証の強化が、クラウドサービス利用者・事業者双方において重要な対策であると言及されています。また、「クラウドセキュリティ標準への準拠」についても言及されており、クラウドサービス事業者側でのISO27001（ISMS）、ISO27017やSOC2等への準拠による一定のセキュリティ水準の確立が重要なポイントとなっています。

Assuredでは、「クラウドセキュリティ標準」を含む複数のフレームワークやガイドラインに基づき、クラウドサービス事業者からセキュリティ情報を収集し、弊社のセキュリティ専門家がリスク評価を行い、調査結果をレポートとして提供しています。このようなレポートを活用いただくことも有効な対策の一つになります。

※1　クラウドサービスの設定ミスを引き起こすリスクの実態調査
・半数以上が、アクセス権限設定の仕様を変更する場合の事前通知を実施せず
・約半数で、サービス利用者が組織内のアカウントのログイン履歴や操作ログを確認できず。インシデント発生時の調査や確認のためログ確認は重要

※2　【2024年】最新シャドーIT対策実態調査レポート
・大手企業の半数以上が100以上のクラウドサービスを利用。1社あたり平均207サービス利用
・膨大な数のサービスを利用しているなか、6割以上がシャドーIT対策未実施。約9割がシャドーIT対策に課題あり

※3　SaaS事業者のランサムウェア対策実態
・脆弱性対策：脆弱性診断やペネトレーションテストの実施は4割以下。サーバーへのウイルス対策ソフトは33.2％が未導入
・バックアップ対策：リストアテスト実施は半数以下、バックアップデータを論理的に分離した環境に保存しているのは18.6％

※4　SaaS事業者のサプライチェーン管理の実態
・クラウドサービスの開発や保守・運用業務の外部委託：約6割が外部へ委託。その内約2割は委託先と「セキュリティ対策」や「情報の削除」を合意せず
・海外事業者への外部委託：委託先の海外事業者に個人情報を提供するクラウドサービスの3つに1つは、海外事業者に対して再委託先の「監督」や「各措置の実施の確保」を合意していない（再委託先以降のガバナンスを効かせづらい状況

【セキュリティ評価プラットフォーム「Assured（アシュアード）」について】

Assuredは、SaaS/ASPなどのクラウドサービスの安全性を可視化するプラットフォームです。専門知識を有するセキュリティ評価チームが、主要なガイドラインやフレームワークに基づき、クラウドサービスのセキュリティ対策状況を調査し、その評価結果をデータベースに集約することで、効率的かつ高精度なセキュリティ評価を実現します。また、クラウドサービス事業者は、Assuredによるセキュリティ評価情報を用いて自社サービスの安全性を示すことができ、利用企業・事業者双方を繋ぐ役割として、企業の安全なクラウド活用、そして社会全体のDX推進を支えます。

URL：https://assured.jp/

X（旧Twitter）：https://twitter.com/AssuredJP

◆タクシーCM放映中◆

【Visionalについて】

「新しい可能性を、次々と。」をグループミッションとし、HR Tech領域を中心に、産業のデジタルトランスフォーメーション（DX）を推進するさまざまな事業を展開。「ビズリーチ」をはじめとした採用プラットフォームや、人財活用プラットフォーム「HRMOS」シリーズを中心に、企業の人材活用・人材戦略（HCM）エコシステムの構築を目指す。また、M&A、物流Tech、サイバーセキュリティの領域においても、新規事業を次々に立ち上げている。

URL：https://www.visional.inc/