『クラウドサービスのセキュリティ対策』実態調査
〜クラウドサービスの普及に伴い、約4割の企業が第三者の設定チェックサービスやツールを利用しているという結果に〜
エムオーテックス株式会社(以下MOTEX)は、クラウドサービスを利用している従業員数300人以下の中小企業の情報システム担当者様を対象に実施した、 クラウドサービス利用に対するセキュリティ対策の実態調査を発表します。
◎「『クラウドサービスのセキュリティ対策』実態調査」資料ダウンロードはこちら(無料)
https://go.motex.co.jp/l/320351/2023-06-19/91grvx
■ 調査背景
昨今、働き方改革やコロナ禍におけるテレワークの浸透、あるいはDX(デジタルトランスフォーメーション)推進による業務の効率化・生産性向上を目指し、クラウドサービスを導入される企業・組織が増えています。クラウドサービスは、インターネットに接続されていれば、誰でも、いつでも、自由に利用でき、企業・組織にとっては、これまでサーバーやソフトウェアなどの調達・購入やシステムの構築・管理・運用などにかかっていたさまざまなコストや工数を削減できるといった大きなメリットがあります。
しかしその一方で、クラウドサービスにはクラウドならではの情報セキュリティリスクもあり、インターネット上にデータが公開されるため、ゲストユーザー(社外からのアクセス)の管理や、ファイル共有範囲の設定には細心の注意が必要です。クラウドサービスを提供している事業者側から、セキュリティ対策として脆弱性の是正や機能改善といった定期的なアップデートがなされますが、クラウドサービスを利用する側においても、自社の利用目的にあった適切な設定になっているか、利用者側の責任で定期的な確認が求められます。
また、万が一不正アクセスや情報漏洩といったセキュリティインシデントが起きてしまった場合、昨今は改正個人情報保護法により事業者に情報漏洩が発生した際の報告義務が課せられるなど、企業・組織にはインシデント発生時の原因調査・分析や再発防止策の検討・実施が求められています。そのためにも、クラウドサービスのアクセス履歴や操作履歴など、利用状況を記録するログ(監査ログ)を取得・保管しておく必要があり、実際、日本セキュリティ監査協会や内閣サイバーセキュリティセンター(NISC)といった団体からは1年以上のログ保管が望ましいという提言がなされています。
このように、ビジネスにおけるクラウドサービス利用には、定期的な設定確認やログ管理といった情報セキュリティ対策が求められます。しかし、特に中小企業においては、セキュリティ人材の確保やリソースに制限があるなかで、「必要なセキュリティ対策を実施できていない」または「対策したいが具体的な方法が分からない」「対策しているが果たして適切に出来ているのか分からない」といったご担当者様が多いのではないでしょうか?
そこで今回、MOTEXではクラウドサービスを利用している従業員数300人以下の中小企業において、情報システムに携わっている方を対象に「クラウドサービスに対するセキュリティ対策」の実態をお伺いしました。
■ 「中小企業の情シス1,000人に聞いた!『クラウドサービスのセキュリティ対策』実態調査」の概要
【調査内容】
・お勤め先の企業では、クラウドサービスで秘密情報を取り扱う際のセキュリティ対策はできていますか?
・監査ログの定期的な監視やチェックはできていますか?
・監査ログの定期的なチェックや運用ができていない理由はなぜですか?
・監査ログの定期的なチェックや運用ができていないことで、設定不備やインシデントにつながったことはありますか?
・どのようなインシデントが発生したか具体的に教えてください
・自社で利用しているクラウドサービスについて、定期的に設定状況の見直しはできていますか?
・お使いのクラウドサービスで、不安のある設定はありますか?
・クラウドサービスの設定状況について、第三者による設定チェックのサービス(診断サービス等)を受けたことがありますか?
・第三者による設定チェックのサービス(診断サービス等)を受けたきっかけは何ですか?
【調査方法】
調査期間 | 2023年5月10日(水)~2023年5月12日(金) |
調査方法 | インターネット調査 |
調査人数 | 1,004名 |
調査対象 | 従業員300人以下の中小企業(クラウドサービスを利用している)において 情報システムに携わっているご担当者 |
モニター提供元 | ゼネラルリサーチ株式会社 |
調査機関 | ゼネラルリサーチ株式会社 |
◎「『クラウドサービスのセキュリティ対策』実態調査」資料ダウンロードはこちら(無料)
https://go.motex.co.jp/l/320351/2023-06-19/91grvx
■ <TOPICS> 中小企業のセキュリティ対策の実情
〜監査ログの定期的なチェックや運用ができていない理由は、専門的な知識を求められるから〜
本調査では、はじめに、お勤めの企業のクラウドサービスに対するセキュリティ対策の状況についてお伺いしました。
「お勤め先の企業では、クラウドサービスで秘密情報を取り扱う際のセキュリティ対策はできていますか?」という質問には、「しっかりと対策できている(28.4%)」「ある程度は対策できている(57.4%)」「あまり対策できていない(12.2%)」「まったく対策できていない(2.0%)」という回答結果になりました。(※図中では、数値を小数点以下切り捨てで表しています。)
対策できていると回答された方が8割以上いる一方で、約14%の方が、自社のセキュリティ対策は充分ではないと感じていることが分かりました。さらに、監査ログの定期的な監視やチェックについては、「あまりできていない」「全くできていない」という方が全体の約26%を占めました。
では、監査ログの定期的なチェックや運用ができていない理由は何でしょうか?
「監査ログの定期的なチェックや運用ができていない理由はなぜですか?(複数回答可)」という質問では、「ログ解析ができない(難しい)(32.8%)」と回答された方が最も多く、次いで「設定が多すぎて手を付けづらい(29.4%)」「監視やチェックに膨大な時間がかかる(27.5%)」と続きました。(※図中では、数値を小数点以下切り捨てで表しています。)
監査ログの取り扱いには専門的な知識が必要となることから、監査ログのチェックが難しい、手を付けづらいなどといったハードルを感じてしまい、監視や運用がしっかりできていないという企業が多いようです。
また、情報セキュリティ監査の際には、情報資産の保護という観点で、セキュリティ上リスクのあるファイル共有設定やゲストユーザーの招待といったクラウドサービスの設定が監査対象となります。これらは、クラウドサービスの最新の仕様や自社のポリシーに合わせて適切に設定する必要があります。
今回、「クラウドサービスの設定状況について、第三者による設定チェックのサービスを受けたことがありますか?」という質問には、「ある(33.8%)」「ない(45.3%)」「ツールを利用している(8.9%)」「分からない(12.0%)という回答結果になりました。(※図中では、数値を小数点以下切り捨てで表しています。)
では、監査ログのチェックや運用、そしてクラウドサービスの設定が適切にできていないと、どのようなインシデントのリスクが生じてしまうのでしょうか? 詳細は「中小企業の情シス1,000人に聞いた!『クラウドサービスのセキュリティ対策』実態調査」の資料をぜひご覧ください。企業・組織でクラウドサービスを利用する際の注意点や課題、またクラウドサービスの設定において、どのような点に不安を持っているかなどを掲載したレポートとなっています。皆様がより良いセキュリティ体制を構築できるよう、本調査結果がお役に立てば幸いです。
◎資料ダウンロードはこちら(無料)
https://go.motex.co.jp/l/320351/2023-06-19/91grvx
出典:PRTimes 中小企業の情報システム担当者1,000名に聞いた!「『クラウドサービスのセキュリティ対策』実態調査」を発表