SaaS事業者のランサムウェア耐性環境などに課題--アシュアード調査
アシュアードは、SaaS事業者のセキュリティ対策状況を調査し、サプライチェーンの観点で分析した結果を発表した。全体的にセキュリティレベルが向上しているものの、ランサムウェア耐性環境など一部に課題があると指摘している。 調査は、12月5日に同社のクラウドリスク評価サービスに回答したSaaS事業者1049件を対象に行い、企業の関心事となっているサプライチェーンでのセキュリティリスクの観点から分析した。 まずセキュリティガバナンス体制の状況(複数回答)では、情報セキュリティ管理責任者の設置(97.2%)、有事を想定した役割や責任を定義(92.4%)、情報セキュリティ管理を担う部署・役割を定義(91.2%)と高い一方、外部に委託する業務、役割、責任を定義が75.1%だった。これは、SaaS事業者が利用するIaaS事業者から提供されるセキュリティサービスを受動的に利用していることや責任範囲の確認が行われていないことがあるという。 セキュリティ対策の実施状況(複数回答)として、開発工程では、セキュアコーディング(87.6%)、ソースコードのレビュー(86.7%)、利用しているオープンソースソフトウェアの把握(84.0%)などが挙げられた。運用では、セキュリティパッチの適用(82.2%)、脆弱(ぜいじゃく)性管理手続きの文書化(75.9%)、脆弱性やベンダーサポートの終了の把握(75.0%)、定期的にドキュメントを見直し(71.7%)などが挙げられたものの、総じて開発工程よりも実施率がやや低かった。 セキュリティ診断の実施状況(複数回答)は、アプリケーションの脆弱性診断が73.1%、プラットフォームの脆弱性診断が62.7%、第三者によるペネトレーションテスト(疑似的な不正侵入検査)が41.0%、セキュリティポスチャー評価(設定診断)が22.0%だった。 バックアップ対策の実施状況(複数回答)では、定期的なバックアップ取得の確認(88.9%)や物理的に離れた場所への保存(64.6%)、リストアテストの実施が55.0%、論理的な分離環境/オフライン/イミュータブル(不変)ストレージへの保存が50.1%だった。昨今はランサムウェア被害によるビジネスへの影響が大きなリスクであるものの、ランサムウェア対策とされる論理的な分離環境/オフライン/イミュータブルストレージの利用は半分程度にとどまった。 利用企業向けの通知状況では、事前・緊急・不定期などのメンテナンス告知、サービスに関する大きな変更・終了、障害・パフォーマンス低下、セキュリティインシデント発生で8割を超えていたものの、アクセス権限設定の仕様変更は47.4%だった。また、通知がサービスに関するページへの掲示のみというケースがあり、利用企業はSaaS事業者からの報告や通知の方式、その対象およびイベントなどをサービスレベルの観点で注目すべきだとしている。
