アシュアードの調査で、SaaS事業者のセキュリティ対策は進展するも、ランサムウェア耐性環境に課題が残ることが明らかに。特に外部業務の委託定義やバックアップ対策に改善が必要。
この調査は、同社のクラウドリスク評価サービスに回答した1049件のSaaS事業者を対象に、サプライチェーンにおけるセキュリティリスクを分析したものである。
調査結果によると、情報セキュリティ管理責任者の設置率は97.2%、有事に備えた役割や責任の定義が92.4%と高い水準である一方、外部業務の委託に関する定義は75.1%にとどまっており、これがSaaS事業者がIaaS事業者からのセキュリティサービスを受動的に利用していることを示唆している。
セキュリティ対策の実施状況においては、セキュアコーディングやソースコードレビューなどが高い実施率を示しているが、運用面ではセキュリティパッチの適用や脆弱性管理手続きの文書化がやや低い実施率に留まっている。
さらに、アプリケーションやプラットフォームの脆弱性診断の実施率は73.1%および62.7%であるが、ペネトレーションテストは41.0%、セキュリティポスチャー評価は22.0%と低い水準である。
バックアップ対策については、定期的なバックアップ取得の確認が88.9%であるものの、ランサムウェア対策としての論理的な分離環境やイミュータブルストレージの利用は50.1%にとどまっており、依然としてリスクが存在する。
利用企業への通知状況は概ね良好であるが、アクセス権限設定の仕様変更に関する通知は47.4%と低く、SaaS事業者からの報告や通知の方式についても改善の余地があることが指摘されている。
参考リンクhttps://news.yahoo.co.jp/articles/50bb44a2180743ce51e696d15fd6f997805fb6d3