事業継続脅かす「クラウドサービス」安全性の盲点 セキュリティ評価や選び方のポイントとは?
東洋経済オンライン / 2024年3月22日 8時0分
例えば今年1月に発表された、情報処理推進機構(IPA)の「情報セキュリティ10大脅威2024」では、「ランサムウェアによる被害」が昨年に引き続き1位となった。
自分たちの組織におけるランサムウェア対策は浸透しつつある一方、利用しているクラウドサービスの対策状況を確認・評価している企業はそれほど多くないだろう。先述の社労士サービスのランサムウェア被害事例のように、クラウドサービスに対するランサムウェア攻撃の影響が自社に及ぶケースに注意が必要だ。
注意したいクラウドサービス事業者の対策実態
そこで、アシュアードが2023年に1002件のSaaSを対象に実施したセキュリティ評価結果データから、クラウドサービス事業者のランサムウェア対策の実態と併せ、利用企業が確認すべき主な対策をお伝えする。
まず、事業者の対策実態を紹介しよう。ランサムウェアの感染を防ぐには、利用しているネットワーク機器やOS、ソフトウェアに脆弱性を残さない対策が重要だ。
適切なアップデートはもちろん、脆弱性診断およびペネトレーションテスト(攻撃者の視点で脆弱性から侵入を試みたときに目的達成できるか否かを検証するテスト)の実施が有効とされるが、これらの対策実施率はすべて40%以下にとどまっている。
また、多要素認証などの認証方式を取り入れることで、悪意のある侵入を防ぐことができる。さらに、ネットワークに侵入されたとしても、ネットワーク内のドメインコントローラーや各種サーバーで適切な認証を実施することで被害の最小化が可能だ。
しかし、こうした適切な認証方式でアクセス制限ができているのは61.9%で、約4割が実施できていない。AWS等のパブリッククラウドを利用してSaaSを提供している事業者がほとんどだが、推奨されている多要素認証(MFA)を利用していないクラウドサービスがいまだに散見される。
ランサムウェアに感染したとしても、被害を最小限にし、早期に復旧するための対策も必要不可欠だ。
警察庁の「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」によれば、バックアップからランサム被害直前の水準まで復元できたケースはわずか約20%。バックアップから正常に元の状態に復元できることを確かめるリストアテストは、とくに重要な対策と言える。
ところが、アシュアードの調査では、バックアップ対策としてリストアテストを実施しているのは半数以下の46.2%、バックアップデータが暗号化されないように「バックアップデータを論理的に分離した環境やオフラインストレージ、不変ストレージに保存している」のは18.6%のみだった。
クラウドサービスを利用する企業に必要な対策とは?
この記事に関連するニュース
-
クラウドサービス事業者による契約終了後のデータ取り扱い実態調査(Assured調べ)
PR TIMES / 2024年5月15日 11時15分
-
脆弱性管理クラウド「yamory」、SBOM機能に関する特許を取得
PR TIMES / 2024年5月9日 17時40分
-
国産脆弱性診断・ASMツール「GMOサイバー攻撃 ネットde診断」 「Palo Alto Networks」、「Cisco」、「SonicWall」の脆弱性診断が可能に
PR TIMES / 2024年4月30日 11時15分
-
『ランサムウェアやメール経由のサイバー攻撃からエンドポイントをどう守ればいいのか?』というテーマのウェビナーを開催
PR TIMES / 2024年4月26日 13時40分
ランキング
-
1消えゆく「回転レストラン」…80年代には全国50店→再開発・老朽化で数店舗に
読売新聞 / 2024年5月18日 15時0分
-
2農林中金が1兆円規模の増資検討…米金利高で外債の含み損拡大、5000億円赤字の見通し
読売新聞 / 2024年5月18日 23時10分
-
3「定年コロリ」という言葉も…長年のシフト勤務が〈睡眠の質〉や体に及ぼす影響は?【スタンフォード大教授が解説】
THE GOLD ONLINE(ゴールドオンライン) / 2024年5月18日 17時15分
-
4“スーパー化”するドラッグストア 野菜や肉・魚のほか店内調理のパンや総菜も並ぶ 専門家「男性顧客も視野に入れて食品を強化か」
MBSニュース / 2024年5月18日 13時20分
-
5東京から新幹線…「新神戸」よりも、一駅先の「西明石」まで買った方がおトク!? JR往復割引「601キロ」のカラクリ
まいどなニュース / 2024年5月19日 8時2分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください