Visionalグループのアシュアードが運営するセキュリティ評価プラットフォーム「Assured」は12月20日、2023年における海外のクラウドサービス(SaaSなど)と国内のクラウドサービスのセキュリティ対策状況を比較し、その傾向を発表した。

国内サービスのIPアドレス制限の実施率は67.1%

国内サービスにおいては、ISMS(情報セキュリティマネジメントシステム)を取得している割合が60.2%と、海外サービスの50.7%よりも高く、反対に、SOC2(Service Organization Control Type 2:米国公認会計士協会が開発したサイバーセキュリティ・コンプライアンス・フレームワーク)を取得している割合が8.6%と、海外の59.2%と比較して著しく低いことが分かった。

預託データへのアクセスログのモニタリングについては、海外では95.1%(文書化や定期的な見直しの有無に関わらず)でほぼ必須の対策になっているのに対し、国内は86.2%にとどまり、1割以上が未実施であることが分かった。また、特権アカウントを用いた情報資産へのアクセスの記録、モニタリングについては、海外サービスは95.7%の実施、国内は87.6%となっている。

またアカウント認証においては、国内サービスはIPアドレス制限の実施率が67.1%と海外サービスの40.4%と比較しても多い結果となった一方で、多要素認証などの対策は約半数の46.1%が実施できていないことが明らかになった。海外サービスは多要素認証などの対策ができている割合が86.1%と高く、これらの対策が標準になっていることが伺える結果となっている。

  • 国内サービスはIPアドレス制限の実施率 Assured調べ

    国内サービスはIPアドレス制限の実施率 Assured調べ

国内のサーバへのウイルス対策ソフトの導入率は63.3%

昨今被害が拡大しているランサムウェア対策として重要視される「バックアップ対策」について聞くと、国内サービスにおいては、バックアップ自体は取得しているものの、遠隔地保管は52.9%(海外サービス70.0%)、リストアテストの実施率は43.8%(海外サービス60.7%)と、いずれも海外より低い結果となった。

  • バックアップ対策について Assured調べ

    バックアップ対策について Assured調べ

また、実際にシステムなどへの侵入を試みることでセキュリティ対策を評価するペネトレーションテストについては、海外サービスでは約半数におよぶ44.3%が実施しており、海外では標準になりつつあることが判明した。その一方で、国内で実施できているのは22.2%のみで海外のセキュリティ標準から遅れをとっていることが分かった。

サーバへのウイルス対策ソフトの導入率も国内サービスの方が低く、海外では84.9%の導入率に対し、国内は63.3%にとどまっている。サービスの性能への影響を懸念して対策していなかったり、利用しているIaaS(Infrastructure as a Service)などの仕様を把握していなかったり、またLinuxにはウイルス対策が不要であるといった認識により対策率が低くなっていることが想定されるという。