このページの本文へ

前へ 1 2 次へ

2023年のセキュリティトピック 脆弱性に対するリスクベースの優先付けが重要に

国内クラウドサービスにセキュリティ対策の遅れ アシュアードが独自データから分析

2024年01月22日 10時00分更新

文● 福澤陽介/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • シェア
  • 一覧
  • 本文印刷

 Visionalグループのアシュアードは、同社の展開するセキュリティ評価プラットフォーム「Assured」および脆弱性管理クラウド「yamory」の独自データを基に、2023年のセキュリティトピックを振り返る説明会を開催した。

国内と比べて、海外クラウドサービス事業者のセキュリティ対策が先行

 Assuredは、ビズリーチなどを手掛けるVisionalグループが提供するクラウドサービスのリスク評価プラットフォーム。クラウドサービスに対する第三者のセキュリティ評価情報をプラットフォームとして一元化、ユーザー企業のクラウド導入の効率化を促進する。クラウドサービスの評価は主に、複数のガイドラインやフレームワークに基づく専門家による調査と、公開されているセキュリティの設定情報に対する定量評価からなる。

 今回披露されたのは、2023年にAssuredがクラウドサービス事業者を評価したデータに基づくセキュリティトピックだ。

 まずは、「2023年のクラウドサービス事業者のセキュリティ未対策項目TOP10」が紹介された。

「2023年のクラウドサービス事業者のセキュリティ未対策項目TOP10」(Assured調べ)

 アシュアードのセキュリティ評価責任者 早崎敏寛氏は、「主にアクセス制御や運用、暗号化に関わる領域が未対策」と説明する。

アシュアード セキュリティ評価責任者 早崎敏寛氏

 セキュリティ未対策項目の1位、2位、4位は「アクセス制御」関連。事業者のサービス運用アカウントやサービス利用者のアカウント、SaaSをのせているIaaSなどのインフラのアカウントに対して、デバイス認証やMACアドレス制限などによるデバイス制御を実施していないというものだ。

 「IPアドレスの制限や多要素認証がメインとなり、デバイス制御の実施率が低くなっているとみている。ただ、単純にIDやパスワードだけで対策している場合はデバイス制御を実施することが望ましい」と早崎氏。

 3位となったのは「バックアップ」関連だ。バックアップデータを論理的に分離した環境やオフラインストレージ、不変ストレージに保存していない事業者が8割を超えた。バックアップはランサムウェア対策になるため、同施策を含む強化を推奨するという。

 5位となったのは暗号化鍵の利用に対するモニタリングだ。事業者の半数は鍵管理システムを利用しているものの、利用のモニタリングまでできているのは3割にも満たなかった。利用状況を把握していないと不適切な利用に気づけないという。

 また、「海外と国内のクラウドサービスにおけるセキュリティ対策実態の比較」も披露された。ここでいう海外と国内の定義は、準拠法が日本法かその他の国であるかで区分しており、海外サービスは主に国内で展開するグローバルなクラウドサービスとなる。

 まず、情報セキュリティにおける第三者の認証や評価の取得の状況に関しては、「ISO/IEC 27001」および「ISO/IEC 27017」の取得率は国内のクラウドサービスの方が高かった(下図参照)。一方で、米国公認会計士協会が定めたフレームワークである「SOC2」を取得しているサービスは、海外の59.2%に比べて国内は8.6%にとどまり、顕著な差が出た。「このトレンド自体は昔から変わっていない」と早崎氏。

国内外のクラウドサービスの第三者認証や評価の取得状況(Assured調べ)

 また、不正なパケットの対策となるIPS/IDSの導入率は、海外は88.0%に対して国内は68.9%、Webアプリケーションの脆弱性を突く攻撃を防止するWAFの導入率は海外の85.3%に対して国内は73.7%となった。

国内外のクラウドサービスのIPS/IDS、WAFの導入状況(Assured調べ)

 その他にも「預託データへのアクセスや特権アカウントの利用に対するモニタリング」や「サービス利用者のアカウントに対する適切な認証の適用率」、「データベースやファイル、バックアップデータの暗号化」、「ペネトレーションテスト実施やサーバーへのウイルス対策ソフトの導入」、「セキュリティ対策関連の各種監視」など、各項目で、海外に対して国内のクラウドサービスのセキュリティ対策の実施率が遅れているという結果となった。

 一方で、アクセス権限の仕様変更の事前通知に関しては、海外が24.8%に対して、国内は43.2%と上回る結果となった。早崎氏は、「利用者に対して優しいのが日本のクラウドサービスの特徴。海外サービスはクラウドを使いこなせる前提で、利用者に一定のスキルを求めている」と補足した。

国内外のクラウドサービスのアクセス権限の仕様変更通知(Assured調べ)

前へ 1 2 次へ

カテゴリートップへ

本記事はアフィリエイトプログラムによる収益を得ている場合があります

この記事の編集者は以下の記事をオススメしています

アクセスランキング

  1. 1位

    トピックス

    “持たない家電”ランキング、もはや定番のアレがやっぱり1位なような

  2. 2位

    トピックス

    思い切った慶應義塾 全教職員にNotion導入で168年分の知的資産をAIに食わせるプロジェクトが始動

  3. 3位

    トピックス

    リモートワークは福利厚生なの? ITエンジニアが本当に欲しい福利厚生第1位となる

  4. 4位

    ビジネス

    管理職こそ大事にしないとまずくないか? 約4割が「続けたい、と答えない」現実

  5. 5位

    トピックス

    インバウンドの頑張りランキングベスト3は「大分県」「岐阜県」「佐賀県」 努力が光る結果に

  6. 6位

    TECH

    訓練だとわかっていても「緊張で脇汗をかいた」 LINEヤフー、初のランサムウェア訓練からの学び

  7. 7位

    TECH

    身代金要求攻撃の被害額は「1社平均6.4億円」 それでも6割超が「支払いを否定しきれない」苦境

  8. 8位

    データセンター

    液冷技術の最先端が集うイノベーションラボ「DRIL」、印西のデータセンターに現わる

  9. 9位

    ITトピック

    管理職ほど機密情報をAIに入力している実態、なぜ?/27卒学生の就職人気、IT業界トップ企業は/最新インシデントの傾向10パターンまとめ、ほか

  10. 10位

    ビジネス

    ランチ抜きが22%!? 物価高で「水筒・コンビニ控え」が定着する中、なぜか「推し活・美容費」だけは死守するオフィスワーカーたち

集計期間:
2026年04月15日~2026年04月21日
  • 角川アスキー総合研究所
TECH 最新連載・特集一覧