-
セキュリティ評価プラットフォーム「Assured」について
Assuredは、SaaS/ASPなどのクラウドサービスの安全性を可視化するプラットフォームです。
多様化するサイバー攻撃が脅威となるなか、特に昨今、SaaS事業者を標的とするランサムウェア被害の増加が目立ちます。こうした問題に対し、政府もガイドラインを策定(※1)し、SaaSなどのクラウドサービスを利用する企業に対して、サプライチェーンの一つとして安全性の確保を徹底するよう促しています。
安心安全にクラウド活用を推進していくためには、利用するサービスのセキュリティ対策状況を適切に見極め、評価していく必要があります。
この度、2023年上半期終了時点で、Assuredのウェブ評価機能(※2)によって得られたデータをもとに、データベースに掲載されているクラウドサービス約1,800件における最新のセキュリティ対策傾向を発表いたします。
※1 経済産業省「サイバーセキュリティ経営ガイドライン」(https://www.meti.go.jp/press/2022/03/20230324002/20230324002.html)でクラウドサービスを含むサプライチェーンリスクへの対応を言及
※2 クラウドサービスの公開情報を自動解析し、セキュリティ対策状況を推定、スコアリングする機能で、客観的なセキュリティ情報を明示
-
なりすましメール対策でSPFを導入しているのは75%、DMARCを導入しているのは45%
メールのなりすましは、スパムやフィッシング攻撃で広く用いられる攻撃手法です。そうした攻撃は、クラウドサービス事業者側の対策によっても防止することが可能です。
その対策のひとつであり、メール送信元のなりすましを検知する仕組みである「SPF(Sender Policy Framework)」において、導入しているサービスは75.2%でした。
また、SPF等の結果を活用し認証失敗時のポリシーを定める仕組みである「DMARC(Domain-based Message Authentication, Reporting and Conformance)」を導入しているサービスは、より少ない44.8%でした。
サービスカテゴリ別で見てみると、「AI・データ活用」のサービスでは73.2%、「システム開発・運用」では68.1%がDMARCを設定している一方で、「サービス業(※3)」が23.7%、「会計・財務」で30.1%、「人事・採用・労務」では35.5%と、カテゴリによって傾向が異なることも分かりました。
2023年2月には、政府がクレジットカード会社等に対してDMARC導入を要請(※4)するなど、導入推進の動きが見られるものの、DMARC導入を義務化しているケースもある欧米諸国と比較すると、日本企業の導入率は低いのが現状です。
DMARCは、認証失敗時のメール処理方法を定めるだけでなく、自社のメールドメインが攻撃者に利用されていないかをモニタリングするうえでも有用な技術であり、クラウドサービス事業者はDMARCを導入することで自社のメールの信頼性をより高めることができます。フィッシング詐欺などの脅威が拡大するなか、対抗手段の一つとして、DMARCの普及が急がれます。
※3 「サービス業」の内訳は予約管理やビジネスマッチング等
※4 経済産業省・警察庁・総務省「クレジットカード会社等に対するフィッシング対策の強化を要請」
-
30%のサービスで、TLS1.0等の古い暗号化プロトコルを利用
改ざんや盗聴を防ぐためにWebサイトは常時SSLに対応すべきですが、8.2%のサービスが常時SSLに対応しておらず、HTTPでも提供されていました。HTTPの場合、データは暗号化されないため、通信を傍受された場合、Webサイトとユーザー間の通信を盗み見たり、改ざんされてしまう可能性があります。
また、通信経路のセキュリティ対策については、98.9%のサービスでSSLやTLSといったプロトコル(インターネット上でデータを暗号化して送受信する仕組み)を利用した通信経路の暗号化を実施していました。
一方で、そのうち3割のサービスで、TLS1.0、TLS1.1といった比較的古い暗号化プロトコルが利用されていることが分かりました。ただし、重大な脆弱性が発見されているSSL3.0の利用はありませんでした。
IPAのガイドライン(※5)では、TLS1.0、TLS1.1は非推奨とされており、主要なWebブラウザーではサポートを中止しています。
サービスカテゴリ別においては、古い暗号化プロトコルの利用は「AI・データ活用」が14.3%、「システム開発・運用」で20.9%と低い水準にある一方で、「サービス業」は40.7%、「会計・財務」は38.6%という結果となりました。
※5 IPA「TLS暗号設定ガイドライン第3.0版」(https://www.ipa.go.jp/security/ipg/documents/ipa-cryptrec-gl-3001-3.0.1.pdf)
-
6%のサービスで、インターネット上に公開すべきではないサーバーが存在
ネットワークに関するセキュリティ対策については、6%のサービスで関連するデータベースサーバー・ファイルサーバー等がインターネット上で発見できる状態であることが分かりました。
重要情報を保存するデータベースサーバー等は外部に公開せず、限られたネットワークのみに公開するなど、多層防御によりセキュリティを高めるべきとされています。意図せずインターネット上にサーバーが公開されている場合、不正アクセスによる重要情報の窃取等、サイバー攻撃の対象となる可能性があります。
サービスカテゴリ別では、「金融・保険」はインターネット上に公開すべきではないサーバーの存在は0%であり、セキュリティ対策が徹底されていることが伺えます。
-
<調査概要>
・調査日:2023年7月12日
・調査対象:Assuredに掲載中のクラウドサービス関連のウェブサイト
・調査件数:1,787件
※本調査を引用される際には、「Assured調べ」と必ずご記載ください。
-
株式会社アシュアード 代表取締役社長 大森 厚志 コメント
DXやデジタル化の動きが活発化するなか、SaaSなどのクラウドサービスの利活用も加速しています。その一方で、サイバー攻撃の脅威も拡大しており、自社システムへの直接的な攻撃だけでなく、SaaS事業者に対する攻撃や障害の影響により、情報漏洩やシステム停止などの重大なインシデントに繋がる危険性もあります。IPAの「情報セキュリティ10大脅威 2023」(https://www.ipa.go.jp/security/10threats/10threats2023.html)でも、「サプライチェーンの弱点を悪用した攻撃」が2位(前年順位:3位)にランクインするなど、リスクの高まりが伺えます。
この度、2023年上半期版の最新傾向として、Assuredのデータベースにウェブ評価の登録があるクラウドサービスのセキュリティ対策傾向を分析したところ、上に挙げた傾向が明らかになりました。
デジタル時代において、今後のクラウド活用の拡大が進むことは明らかであるなか、利用するサービスのセキュリティ対策状況を適切に見極め利用判断をしていくことで、安心・安全なクラウド活用を実現していくことができます。
また、クラウドサービスを提供する事業者様にも、本データを通じて世の中の動きや業界全体の傾向を把握していただくことで、自社サービスのセキュリティ向上に活用いただければ幸いです。
Assuredは、クラウドサービスを利用する企業様、提供する事業者様の双方を繋ぐプラットフォームとして今後もサービス向上に努めて参ります。
【セキュリティ評価プラットフォーム「Assured(アシュアード)」について】
※Assuredは、クラウドサービスのセキュリティ評価におけるデファクトスタンダードを構築し、クラウドサービスを利用する企業、提供する事業者を繋ぐ役割を担うことを目指しています。そこでこの度、サービスのコンセプト(タグライン)を、「クラウドリスク評価」から「セキュリティ評価プラットフォーム」に変更しました。
Assuredは、SaaS/ASPなどのクラウドサービスの安全性を可視化するプラットフォームです。専門知識を有するセキュリティ評価チームが、主要なガイドラインやフレームワークに基づき、クラウドサービスのセキュリティ対策状況を調査し、その評価結果をデータベースに集約することで、効率的かつ高精度なセキュリティ評価を実現します。また、クラウドサービス事業者は、Assuredによるセキュリティ評価情報を用いて自社サービスの安全性を示すことができ、利用企業・事業者双方を繋ぐ役割として、企業の安全なクラウド活用、そして社会全体のDX推進を支えます。
URL:https://assured.jp/
【Visionalについて】
「新しい可能性を、次々と。」をグループミッションとし、HR Tech領域を中心に、産業のデジタルトランスフォーメーション(DX)を推進するさまざまな事業を展開。「ビズリーチ」をはじめとした採用プラットフォームや、人財活用プラットフォーム「HRMOS」シリーズを中心に、企業の人材活用・人材戦略(HCM)エコシステムの構築を目指す。また、M&A、物流Tech、サイバーセキュリティ、Sales Techの領域においても、新規事業を次々に立ち上げている。