事業継続脅かす｢クラウドサービス｣安全性の盲点 セキュリティ評価や選び方のポイントとは？

例えば今年1月に発表された、情報処理推進機構（IPA）の「情報セキュリティ10大脅威2024」では、「ランサムウェアによる被害」が昨年に引き続き1位となった。

自分たちの組織におけるランサムウェア対策は浸透しつつある一方、利用しているクラウドサービスの対策状況を確認・評価している企業はそれほど多くないだろう。先述の社労士サービスのランサムウェア被害事例のように、クラウドサービスに対するランサムウェア攻撃の影響が自社に及ぶケースに注意が必要だ。

注意したいクラウドサービス事業者の対策実態

そこで、アシュアードが2023年に1002件のSaaSを対象に実施したセキュリティ評価結果データから、クラウドサービス事業者のランサムウェア対策の実態と併せ、利用企業が確認すべき主な対策をお伝えする。

まず、事業者の対策実態を紹介しよう。ランサムウェアの感染を防ぐには、利用しているネットワーク機器やOS、ソフトウェアに脆弱性を残さない対策が重要だ。

適切なアップデートはもちろん、脆弱性診断およびペネトレーションテスト（攻撃者の視点で脆弱性から侵入を試みたときに目的達成できるか否かを検証するテスト）の実施が有効とされるが、これらの対策実施率はすべて40%以下にとどまっている。

また、多要素認証などの認証方式を取り入れることで、悪意のある侵入を防ぐことができる。さらに、ネットワークに侵入されたとしても、ネットワーク内のドメインコントローラーや各種サーバーで適切な認証を実施することで被害の最小化が可能だ。

しかし、こうした適切な認証方式でアクセス制限ができているのは61.9％で、約4割が実施できていない。AWS等のパブリッククラウドを利用してSaaSを提供している事業者がほとんどだが、推奨されている多要素認証（MFA）を利用していないクラウドサービスがいまだに散見される。

ランサムウェアに感染したとしても、被害を最小限にし、早期に復旧するための対策も必要不可欠だ。

警察庁の「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」によれば、バックアップからランサム被害直前の水準まで復元できたケースはわずか約20％。バックアップから正常に元の状態に復元できることを確かめるリストアテストは、とくに重要な対策と言える。

ところが、アシュアードの調査では、バックアップ対策としてリストアテストを実施しているのは半数以下の46.2％、バックアップデータが暗号化されないように「バックアップデータを論理的に分離した環境やオフラインストレージ、不変ストレージに保存している」のは18.6％のみだった。

クラウドサービスを利用する企業に必要な対策とは？