【2024年セキュリティレポート Vol.2】クラウドサービス事業者におけるサプライチェーンセキュリティ対策実態

Visionalグループの株式会社アシュアード（所在地：東京都渋谷区/代表取締役社長：大森 厚志）が運営するセキュリティ評価プラットフォーム「Assured（アシュアード）」（https://assured.jp/）は、2024年におけるクラウドサービス（SaaS）事業者のセキュリティ対策のうち、特にサプライチェーンリスクとして関心が高い観点についてまとめ、発表します。

※本調査を引用される際には、「Assured調べ」と必ずご記載ください。

調査背景

企業へのサイバー攻撃の結果、その企業のみならず取引先へも影響が波及する、もしくは取引先企業を狙って攻撃を仕掛けるというサプライチェーン攻撃が大きなリスクとして注目されています。SaaS事業者も利用企業にとってはサプライチェーンの一部であり、SaaS事業者からさらにその先の委託先も存在します。また、SaaSはサービス利用規約をもとにした関係性であることが多く、業務委託契約、購買契約にもとづくサプライチェーンとは異なるリスクもあります。

そこで、2024年のSaaS事業者のセキュリティ対策のうち、特にサプライチェーンリスクとして関心が高い観点についてまとめ、発表します。

調査結果

サプライチェーンリスクの対策を進める場合、自社のみならず取引先の情報セキュリティが課題となるため、取引先のガバナンス体制が論点となります。

2023年の同調査と比較すると体制の整備が進んでいる結果となりました。組織的な取り組みは年単位の時間が必要となることもあるため、多くのSaaS事業者が継続して体制整備に取り組んでいることが伺えます。

情報セキュリティ体制に関して外部に委託する業務と役割等の定義が他よりも低い理由としては、SaaS事業者自身で完結するケースが多いことも考えられますが、SaaS事業者が利用するIaaSから提供されるセキュリティサービスを受動的に利用しているだけ、責任範囲の確認が行われていない、等の可能性があります。

近年、米国の大統領令（EO14028）に代表されるように、サプライチェーンリスクの高まりからセキュリティ的に安全な製品・サービス開発に注目が集まっています。開発段階からの安全性確保には多くの観点（※１）がありますが、ここでは基本的な取り組みとしてセキュアコーディングや脆弱性の把握状況について調査しています。

8割を超えるSaaS事業者で、コーディングルールやレビュー等が行われています。また、大きなセキュリティホールや不正コードの挿入等によりサプライチェーンリスクが高まっているOSSについても、一般企業に比べ高い割合で把握されていると思われます。こうした点からはセキュアなサービスを開発するSaaS事業者の姿勢が伺えます。

一方、EOLや脆弱性の把握割合は75%、セキュリティパッチ適用は8割程度にとどまっており、脆弱性への未対応がもたらす影響を考えると、サービスの安全性が継続されないリスクがあります。利用企業ではSaaS利用に際して、どのように開発段階におけるセキュリティ管理を行っているか確認する必要があります。

※１： NIST SP800-218 “Secure Software Development Framework (SSDF)” 等

Vol.1で触れたようにSaaS事業者では設定診断の実施割合が低い状況にありますが、アプリケーション、プラットフォーム（インフラ）の診断はサービスに依らず標準的に実施するものになりつつあると言えます。Assuredの調査事項全体でみてもこのセキュリティ診断は実施率が大きく伸びた領域の１つです。こうした診断はセキュリティレベルの向上に直結するためよい傾向と言えます。

一方で、実施率はあがっていますが、未実施のSaaSも存在しています。アプリケーションやプラットフォームそれぞれについて実施していないSaaSも3割〜4割程度存在しています。

こうした脆弱性診断や第三者によるペネトレーションテストは時間や費用がかかるため、優先順位が下がってしまう恐れがあることから、利用するSaaSがどのような診断を行っているのか、またその頻度について、利用前のみならず利用期間中も定期的に把握する必要があります。

バックアップに関する調査の各項目において、昨年より実施割合が向上しています。特に、論理的分離環境やオフライン・不変ストレージの利用が進んでいます（昨年は41.6%）。

これはランサムウェアの脅威を反映したものと考えられます。しかし、全体では半数程度にとどまっており、昨今のランサムウェアの被害、SaaSへの感染時の影響を考えると、さらにランサムウェア耐性のあるバックアップ環境がさらに整備されることが望まれます。

リストアテストについても同様です。バックアップの信頼性を検証・確保するためには必須の項目であり、バックアップ取得とセットで実施するべきものです。

利用企業向けの通知状況についても前年から改善が見られます。しかし、細かく見ていくと、障害時やパフォーマンス低下時の通知については8割程度にとどまっており、コンプライアンスの観点からも不安を感じる利用企業もあると思われます。

また、通知手段がサービスページでの掲示にとどまるというケースがあり、その場合は利用企業が能動的に情報を取得する必要があります。これはオンプレでのシステム運用とは大きく異なる点です。利用企業は報告・通知の方式とその対象・イベントなどをサービスレベルの観点で注目すべきです。

＜Assuredセキュリティエキスパート　真藤 直観による総括＞

2025年以降もSaaSセキュリティ対策は向上すると予想されますが、同時にSaaS利用が拡大していることから、利用企業がより高度な対策を求めるケースが増えると思われます。

また、SaaSのほとんどはIaaS上に構築されており、そうしたIaaSの一部では、より高度なセキュリティ対策が追加サービスとして提供されていますが、利用には一定のコストが発生します。あわせてセキュリティ対策を推進する人的コストも無視できません。

このような理由からセキュリティ対策が先行する事業者と相対的に遅れる事業者の隔たりが大きくなることが想定されます。

したがって、利用企業がSaaSのセキュリティ対策を適切に把握することや、預託データ等の重要性を考慮したリスク管理を行うことが一層重要になると思われます。

Assuredでは引き続きSaaS利用の促進や安全なビジネス環境にむけ、サービス向上に取り組んでまいります。

【セキュリティ評価プラットフォーム「Assured（アシュアード）」について】

Assuredは、SaaS/ASPなどのクラウドサービスの安全性を可視化するプラットフォームです。専門知識を有するセキュリティ評価チームが、主要なガイドラインやフレームワークに基づき、クラウドサービスのセキュリティ対策状況を調査し、その評価結果をデータベースに集約することで、効率的かつ高精度なセキュリティ評価を実現します。また、クラウドサービス事業者は、Assuredによるセキュリティ評価情報を用いて自社サービスの安全性を示すことができ、利用企業・事業者双方を繋ぐ役割として、企業の安全なクラウド活用、そして社会全体のDX推進を支えます。

URL：https://assured.jp/

X：https://twitter.com/AssuredJP

◆タクシーCM「リスクは安心な顔をしてやってくる」篇

【Visionalについて】

「新しい可能性を、次々と。」をグループミッションとし、HR Tech領域を中心に、産業のデジタルトランスフォーメーション（DX）を推進するさまざまな事業を展開。「ビズリーチ」をはじめとした採用プラットフォームや、人財活用プラットフォーム「HRMOS」シリーズを中心に、企業の人的資本データプラットフォームの構築を目指す。また、M&A、物流Tech、サイバーセキュリティの領域においても、新規事業を次々に立ち上げている。

URL：https://www.visional.inc/