事業継続脅かす｢クラウドサービス｣安全性の盲点 セキュリティ評価や選び方のポイントとは？

しかし、こうした適切な認証方式でアクセス制限ができているのは61.9％で、約4割が実施できていない。AWS等のパブリッククラウドを利用してSaaSを提供している事業者がほとんどだが、推奨されている多要素認証（MFA）を利用していないクラウドサービスがいまだに散見される。

ランサムウェアに感染したとしても、被害を最小限にし、早期に復旧するための対策も必要不可欠だ。

警察庁の「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」によれば、バックアップからランサム被害直前の水準まで復元できたケースはわずか約20％。バックアップから正常に元の状態に復元できることを確かめるリストアテストは、とくに重要な対策と言える。

ところが、アシュアードの調査では、バックアップ対策としてリストアテストを実施しているのは半数以下の46.2％、バックアップデータが暗号化されないように「バックアップデータを論理的に分離した環境やオフラインストレージ、不変ストレージに保存している」のは18.6％のみだった。

クラウドサービスを利用する企業に必要な対策とは？

実は、十分な対策ができているクラウドサービス事業者は多くないということだ。

そのため、クラウドサービスを利用する企業は、サービス事業者のセキュリティ対策状況を確認し、自組織のリスクアセスメントプロセスに沿ってリスク評価を実施したうえで、どこまでリスクが許容できるか検討することが推奨される。また、クラウドサービス導入後の定期的な評価を実施していない企業も多く見受けられる。

アシュアードでは、セキュリティ専門人材が定期的に各種クラウドサービスのリスク評価を行い、その安全情報をデータベース化しているが、セキュリティ評価のスコアが初回調査から2回目以降で低下しているサービスは3割に上る。

つまり、新規導入時は問題なしと判断した場合も、最新調査では懸念がある状態になっている可能性があり、定期的なセキュリティ評価が重要であると言える。