事業継続脅かす｢クラウドサービス｣安全性の盲点 セキュリティ評価や選び方のポイントとは？

例えば今年1月に発表された、情報処理推進機構（IPA）の「情報セキュリティ10大脅威2024」では、「ランサムウェアによる被害」が昨年に引き続き1位となった。

自分たちの組織におけるランサムウェア対策は浸透しつつある一方、利用しているクラウドサービスの対策状況を確認・評価している企業はそれほど多くないだろう。先述の社労士サービスのランサムウェア被害事例のように、クラウドサービスに対するランサムウェア攻撃の影響が自社に及ぶケースに注意が必要だ。

注意したいクラウドサービス事業者の対策実態

そこで、アシュアードが2023年に1002件のSaaSを対象に実施したセキュリティ評価結果データから、クラウドサービス事業者のランサムウェア対策の実態と併せ、利用企業が確認すべき主な対策をお伝えする。

まず、事業者の対策実態を紹介しよう。ランサムウェアの感染を防ぐには、利用しているネットワーク機器やOS、ソフトウェアに脆弱性を残さない対策が重要だ。

適切なアップデートはもちろん、脆弱性診断およびペネトレーションテスト（攻撃者の視点で脆弱性から侵入を試みたときに目的達成できるか否かを検証するテスト）の実施が有効とされるが、これらの対策実施率はすべて40%以下にとどまっている。

また、多要素認証などの認証方式を取り入れることで、悪意のある侵入を防ぐことができる。さらに、ネットワークに侵入されたとしても、ネットワーク内のドメインコントローラーや各種サーバーで適切な認証を実施することで被害の最小化が可能だ。