事業継続脅かす「クラウドサービス」安全性の盲点 セキュリティ評価や選び方のポイントとは?
東洋経済オンライン / 2024年3月22日 8時0分
例えば今年1月に発表された、情報処理推進機構(IPA)の「情報セキュリティ10大脅威2024」では、「ランサムウェアによる被害」が昨年に引き続き1位となった。
自分たちの組織におけるランサムウェア対策は浸透しつつある一方、利用しているクラウドサービスの対策状況を確認・評価している企業はそれほど多くないだろう。先述の社労士サービスのランサムウェア被害事例のように、クラウドサービスに対するランサムウェア攻撃の影響が自社に及ぶケースに注意が必要だ。
注意したいクラウドサービス事業者の対策実態
そこで、アシュアードが2023年に1002件のSaaSを対象に実施したセキュリティ評価結果データから、クラウドサービス事業者のランサムウェア対策の実態と併せ、利用企業が確認すべき主な対策をお伝えする。
まず、事業者の対策実態を紹介しよう。ランサムウェアの感染を防ぐには、利用しているネットワーク機器やOS、ソフトウェアに脆弱性を残さない対策が重要だ。
適切なアップデートはもちろん、脆弱性診断およびペネトレーションテスト(攻撃者の視点で脆弱性から侵入を試みたときに目的達成できるか否かを検証するテスト)の実施が有効とされるが、これらの対策実施率はすべて40%以下にとどまっている。
また、多要素認証などの認証方式を取り入れることで、悪意のある侵入を防ぐことができる。さらに、ネットワークに侵入されたとしても、ネットワーク内のドメインコントローラーや各種サーバーで適切な認証を実施することで被害の最小化が可能だ。
しかし、こうした適切な認証方式でアクセス制限ができているのは61.9%で、約4割が実施できていない。AWS等のパブリッククラウドを利用してSaaSを提供している事業者がほとんどだが、推奨されている多要素認証(MFA)を利用していないクラウドサービスがいまだに散見される。
ランサムウェアに感染したとしても、被害を最小限にし、早期に復旧するための対策も必要不可欠だ。
警察庁の「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」によれば、バックアップからランサム被害直前の水準まで復元できたケースはわずか約20%。バックアップから正常に元の状態に復元できることを確かめるリストアテストは、とくに重要な対策と言える。
ところが、アシュアードの調査では、バックアップ対策としてリストアテストを実施しているのは半数以下の46.2%、バックアップデータが暗号化されないように「バックアップデータを論理的に分離した環境やオフラインストレージ、不変ストレージに保存している」のは18.6%のみだった。
クラウドサービスを利用する企業に必要な対策とは?
この記事に関連するニュース
-
『脆弱性管理の自動化』というテーマのウェビナーを開催
PR TIMES / 2024年7月4日 11時15分
-
2024年上半期、SaaS事業者のセキュリティ未対策項目ワースト10- アシュアード調査
マイナビニュース / 2024年6月27日 16時47分
-
【2024年上半期セキュリティレポート Vol.2】SaaS事業者のセキュリティ未対策項目 TOP10
PR TIMES / 2024年6月27日 11時15分
-
【2024年上半期セキュリティレポート Vol.1】SaaS事業者のサプライチェーン管理の実態
PR TIMES / 2024年6月26日 12時15分
-
クラウドサービスの利用企業及び提供事業者が活用可能なセキュリティチェックシートテンプレートを公開
PR TIMES / 2024年6月21日 10時45分
ランキング
-
1FRBの利下げ開始「9月」の見方強まる…6月の米雇用統計、人手不足の緩和傾向で
読売新聞 / 2024年7月6日 22時30分
-
2サクランボ王国・山形県に異変 6月の暑さで収穫減、対策急務
共同通信 / 2024年7月6日 16時15分
-
3最悪、〈和式トイレ〉で助けを求める事態にも…老後の健康維持のために取り入れておきたい「超簡単な習慣」【60代の人気エッセイストが助言】
THE GOLD ONLINE(ゴールドオンライン) / 2024年7月7日 10時0分
-
4日本の中古車相場が「ロシア」の影響で下落!? 厳しい「輸出規制」のなかで「売れている」クルマも? 意外な“ロシア行き日本車”とは
くるまのニュース / 2024年7月6日 12時10分
-
5ミニストップ“大量閉店”でもスイーツ人気は底なし!? 「ソフトクリーム」や「ハロハロ」がいつの間にか遂げた進化
集英社オンライン / 2024年7月6日 19時0分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください