2025年のクラウドサービス（SaaS）セキュリティレポート

2025.12.18

〜セキュリティ未対策項目TOP10発表。「防御」は進展する一方、「復旧（レジリエンス）」対策に遅れ〜

株式会社アシュアードは、クラウドサービスのセキュリティ信用評価「Assuredクラウド評価」が2025年に実施したクラウドサービス（SaaS）のセキュリティ評価データに基づき、2025年のクラウドサービス（SaaS）におけるセキュリティ対策の実態を調査しました。

＜調査結果サマリー＞
◆ 全体傾向：セキュリティスコア70点以上のサービスが増加し、SaaS全体のセキュリティ水準は向上の傾向。一方で、基本的なセキュリティ対策が不足する「70点未満」のサービスが依然として約3割（27.4%）存在。
◆ 2025年クラウドサービス事業者の未対策項目TOP10：認証や脆弱性対応などの「防御」対策は進むものの、バックアップや復旧訓練といった「レジリエンス（回復力）」に関する対策は停滞または後退。
◆ AI動向：AIを利用・開発するSaaSは約半数（49.1%）。預託データをAI学習に利用するケースはそのうちの約2割。

調査結果詳細

1. セキュリティスコアの全体傾向：水準は向上するも、約3割で基本的な対策に懸念

2025年に実施したAssuredのセキュリティ評価において、全般的なセキュリティ対策が実施されている目安となるスコア「70点以上」の割合は合計で72.6%（85点以上：37.2%、70〜84点：35.4%）となり、前年と比較して増加傾向にあります。これは、多くのSaaS事業者が標準的〜高度なセキュリティ対策の導入を進めており、昨今のサイバー攻撃リスクの高まりに対応しようとする姿勢の表れと考えられます。

一方で、スコアが70点未満のサービスは27.4%存在します。この層では基本的なセキュリティ対策に複数の懸念点が残っており、利用企業の期待値に届かない可能性があるサービスが依然として約3割存在するとみるべき状況です。

＜スコア定義（傾向）＞85点以上：網羅的にセキュリティ対策が行われ、大きな懸念はありません／70～84点：全体的にセキュリティ対策がなされており、懸念はあるものの限定的な傾向にあります／60～69点：一定のセキュリティ対策がなされているものの、注意が必要な懸念点が複数ある傾向にあります／50～59点：セキュリティ対策が不十分な可能性があります／50点未満：全体的にセキュリティ対策が不十分な可能性があります

2. 2025年クラウドサービス事業者のセキュリティ未対策項目TOP10

Assuredクラウド評価が実施するセキュリティ評価の項目のなかで、実施率の低い対策上位10項目は以下となりました。

2024年の調査結果と比較して大きな差異はありませんでした。セキュリティ対策として実施に時間やコストがかかるものが結果的に実施率が低くなっていると推測されます。

特にリスクベース認証は実施率が低く、後述のMFA実装率が上昇傾向ではあるものの、MFAが回避されるケースもあるため、IPアドレス制限を組み合わせるなどしてより安全なログイン環境にしていくことが重要です。

3. 防御対策は進展するも、レジリエンス（復旧）対策は不足

対策項目別の実施率を見ると、「防御」と「復旧」で傾向が分かれました。

ユーザー認証におけるMFA（多要素認証）の実装は53.0％（+4.5pt）、EOLや脆弱性情報の収集は82.5％（+7.5pt）、セキュリティパッチの適用は87.7%（+5.5pt）など、外部からの攻撃を直接的に防ぐ「防御」に関わる対策実施率は軒並み上昇しています。

対して、システム障害や攻撃被害からの回復を担う「レジリエンス」関連の対策は遅れが見られます。リストア（復旧）テストの実施は50.2%（前年比▲1.6pt）、実機を使った障害訓練は35.0%（前年比▲0.9pt）と、実施率は横ばいか微減となりました。ランサムウェア被害など、広範囲のデータ損失リスクがある中で、復旧対策の遅れはSaaS利用企業にとって重大な懸念材料となり得ます。

4. SaaSにおけるAI利活用の実態

SaaS提供におけるAIの利用・開発割合は49.1%となり、約半数のサービスでAI活用が進んでいます。AIガバナンスに関しては、「利用者向け利用規約の作成・明示」が60.9%（前年比+6.8pt）と進展が見られます。また、利用企業が特に懸念する「預託データをAIの学習・チューニングに利用する」割合は、AI利用サービス全体の19.9%（前年比▲4.3pt）に減少しました。これはSaaS全体で見ると約1割に相当します。

＜調査概要＞
・調査件数：2609件
・調査日：2025年12月9日
・調査対象：「Assuredクラウド評価」（旧：Assured）のセキュリティ調査に回答済みのクラウドサービス事業者
※小数点第二位を四捨五入しているため、合計が100%にならない場合があります。
※本調査を引用される際には、「Assuredクラウド評価調べ」と必ずご記載ください。

株式会社アシュアード Assured事業部セキュリティエキスパート　真藤直観氏　コメント

2025年は、大手企業を含め多くの組織でランサムウェアなどのサイバー攻撃による重大な被害が表面化しました。事業継続を揺るがす大規模なシステム停止や、顧客・取引先への多大な影響、そして信頼の失墜など、その影響は甚大です。もはや、外部からの「侵入を完全に防ぐ」ことだけでは不十分であり、インシデント発生を前提とした「いかに迅速に復旧するか」というレジリエンス（回復力）の重要性が、社会全体で再認識されています。

こうした観点はSaaSにおいても同様かそれ以上に重要です。しかしながら、本調査結果で明らかになったのは、2025年のSaaSセキュリティは「防御重視」の傾向が強く、「侵入前提・障害前提」の対策はまだ途上にあるということです。SaaSを利用する企業においては、表面的なセキュリティ機能の有無だけでなく、万が一のサービス停止やデータ消失に備えた「バックアップ・復旧体制（レジリエンス）」が十分かを確認することが、事業継続の観点でより重要になっています。

当社は今後も、客観的な評価データの提供を通じて、クラウドサービスの安全な活用と企業のセキュリティガバナンス向上を支援してまいります。

出典：2025年のクラウドサービス（SaaS）セキュリティレポート（「Assuredクラウド評価」独自データ調査）