調査で判明、誰もが使う「あるツール」の3割が“セキュリティリスク”高すぎの理由

ようこそゲストさん

ビジネス+ITを始める

フォローの多い人気のタグ
人気のタグ一覧へ
注目のイベント・セミナー
イベント・セミナー一覧へ

ITと経営の融合でビジネスの課題を解決する

ビジネス＋ITとは？

ログイン

無料登録

閉じる

トップページ
システム開発
プロジェクト管理・ワークフロー管理
調査で判明、誰もが使う「あるツール」の3割が“セキュリティリスク”高すぎの理由

株式会社アシュアード提供コンテンツ

スペシャル
会員限定
2024/12/27 掲載

調査で判明、誰もが使う「あるツール」の3割が“セキュリティリスク”高すぎの理由

ありがとうございます！
いいね！した記事一覧をみる

会員になると、いいね！でマイページに保存できます。

日本企業のSaaSやクラウドサービスの利用が拡大する中、それに伴いセキュリティリスクも増大している。特に、サプライチェーン上のセキュリティ対策が不十分なことから、被害を受ける事例は多い。サプライチェーン上のセキュリティ対策を徹底しようにも、一次事業者との利用契約から先の再委託先、再々委託先までのガバナンスを利かせられないため、攻撃者に狙われる「セキュリティ上の落とし穴」が生まれやすい。それでは、どうすれば対策ができるのだろうか。ある調査結果をもとに、サプライチェーン管理上の留意点や対策のポイントを解説していく。

サプライチェーン上には、攻撃者に狙われる「セキュリティ上の落とし穴」が生まれやすい…どうすれば対策できるのか

（Photo/Shutterstock.com）

サプライチェーン内部に潜む「セキュリティの穴」

　情報処理推進機構（IPA）が毎年発表している「情報セキュリティ10大脅威」。その2024年版で「サプライチェーンの弱点を悪用した攻撃」が、2023年に続いて2位となったのをご存じだろうか。この件数は現在も急増しており、とりわけその原因であるSaaSやクラウドサービスの利用が「セキュリティの穴」になっていると問題視されている。

　国内企業におけるクラウドサービスの利用は年々拡大しており、そのユーザーは企業全体の77.5％、2024年の国内市場規模は3兆円に上ると予測されている（注）。1社で100件以上のSaaSやクラウドサービスを導入している企業も少なくないという。こうした状況下、セキュリティ水準の低いSaaS、クラウドサービスが狙われ攻撃のターゲットになれば、サービス停止や預託データの漏えいといったインシデントは避けられない。

注：総務省「令和5年通信利用動向調査報告書（企業編）」、総務省「情報通信白書令和5年版」、IDC「国内パブリッククラウドサービス市場予測を発表」（2022年9月15日）

　実際に、ある社労士向けSaaSでは、2023年6月にサービスサーバがランサムウェアに感染し、繁忙期に約1カ月間サービスが停止。社労士事務所など3400ユーザーに影響が出た。また、別の労務管理用SaaSでは、数年にわたって利用者がアップロードしたファイルに第三者がアクセスできる状態になっており、住所・氏名や身分証明書画像を含む15万人以上の個人情報が漏えいした。

　ひとくちにサプライチェーン管理と言っても、委託先の企業なら直接交渉してセキュリティ対策を要求できる。しかし、自社であれ委託先企業であれ、利用するサービスがSaaSやクラウドサービスとなると、利用契約以外に直接ガバナンスを効かせるのは不可能だ。

　こうした制限がある中で、適切にクラウドサービス事業者のセキュリティ対応状況を評価し、リスクの低い選択をするためには何が必要なのか。最新の調査結果や定量的データを交えながら、解説していこう。

この記事の続き＞＞