〜クラウドサービスの普及に伴い、約4割の企業が第三者の設定チェックサービスやツールを利用しているという結果に〜
◎「『クラウドサービスのセキュリティ対策』実態調査」資料ダウンロードはこちら(無料)
https://go.motex.co.jp/l/320351/2023-06-19/91grvx
■ 調査背景
昨今、働き方改革やコロナ禍におけるテレワークの浸透、あるいはDX(デジタルトランスフォーメーション)推進による業務の効率化・生産性向上を目指し、クラウドサービスを導入される企業・組織が増えています。クラウドサービスは、インターネットに接続されていれば、誰でも、いつでも、自由に利用でき、企業・組織にとっては、これまでサーバーやソフトウェアなどの調達・購入やシステムの構築・管理・運用などにかかっていたさまざまなコストや工数を削減できるといった大きなメリットがあります。
しかしその一方で、クラウドサービスにはクラウドならではの情報セキュリティリスクもあり、インターネット上にデータが公開されるため、ゲストユーザー(社外からのアクセス)の管理や、ファイル共有範囲の設定には細心の注意が必要です。クラウドサービスを提供している事業者側から、セキュリティ対策として脆弱性の是正や機能改善といった定期的なアップデートがなされますが、クラウドサービスを利用する側においても、自社の利用目的にあった適切な設定になっているか、利用者側の責任で定期的な確認が求められます。
また、万が一不正アクセスや情報漏洩といったセキュリティインシデントが起きてしまった場合、昨今は改正個人情報保護法により事業者に情報漏洩が発生した際の報告義務が課せられるなど、企業・組織にはインシデント発生時の原因調査・分析や再発防止策の検討・実施が求められています。そのためにも、クラウドサービスのアクセス履歴や操作履歴など、利用状況を記録するログ(監査ログ)を取得・保管しておく必要があり、実際、日本セキュリティ監査協会や内閣サイバーセキュリティセンター(NISC)といった団体からは1年以上のログ保管が望ましいという提言がなされています。
このように、ビジネスにおけるクラウドサービス利用には、定期的な設定確認やログ管理といった情報セキュリティ対策が求められます。しかし、特に中小企業においては、セキュリティ人材の確保やリソースに制限があるなかで、「必要なセキュリティ対策を実施できていない」または「対策したいが具体的な方法が分からない」「対策しているが果たして適切に出来ているのか分からない」といったご担当者様が多いのではないでしょうか?
そこで今回、MOTEXではクラウドサービスを利用している従業員数300人以下の中小企業において、情報システムに携わっている方を対象に「クラウドサービスに対するセキュリティ対策」の実態をお伺いしました。
■ 「中小企業の情シス1,000人に聞いた!『クラウドサービスのセキュリティ対策』実態調査」の概要
【調査内容】
・お勤め先の企業では、クラウドサービスで秘密情報を取り扱う際のセキュリティ対策はできていますか?
・監査ログの定期的な監視やチェックはできていますか?
・監査ログの定期的なチェックや運用ができていない理由はなぜですか?
・監査ログの定期的なチェックや運用ができていないことで、設定不備やインシデントにつながったことはありますか?
・どのようなインシデントが発生したか具体的に教えてください
・自社で利用しているクラウドサービスについて、定期的に設定状況の見直しはできていますか?
・お使いのクラウドサービスで、不安のある設定はありますか?
・クラウドサービスの設定状況について、第三者による設定チェックのサービス(診断サービス等)を受けたことがありますか?
・第三者による設定チェックのサービス(診断サービス等)を受けたきっかけは何ですか?
【調査方法】
|
調査期間 |
2023年5月10日(水)~2023年5月12日(金) |
|
調査方法 |
インターネット調査 |
|
調査人数 |
1,004名 |
|
調査対象 |
従業員300人以下の中小企業(クラウドサービスを利用している)において |
|
モニター提供元 |
ゼネラルリサーチ株式会社 |
|
調査機関 |
ゼネラルリサーチ株式会社 |
◎「『クラウドサービスのセキュリティ対策』実態調査」資料ダウンロードはこちら(無料)
https://go.motex.co.jp/l/320351/2023-06-19/91grvx
■ <TOPICS> 中小企業のセキュリティ対策の実情
〜監査ログの定期的なチェックや運用ができていない理由は、専門的な知識を求められるから〜
本調査では、はじめに、お勤めの企業のクラウドサービスに対するセキュリティ対策の状況についてお伺いしました。
「お勤め先の企業では、クラウドサービスで秘密情報を取り扱う際のセキュリティ対策はできていますか?」という質問には、「しっかりと対策できている(28.4%)」「ある程度は対策できている(57.4%)」「あまり対策できていない(12.2%)」「まったく対策できていない(2.0%)」という回答結果になりました。(※図中では、数値を小数点以下切り捨てで表しています。)
対策できていると回答された方が8割以上いる一方で、約14%の方が、自社のセキュリティ対策は充分ではないと感じていることが分かりました。さらに、監査ログの定期的な監視やチェックについては、「あまりできていない」「全くできていない」という方が全体の約26%を占めました。
では、監査ログの定期的なチェックや運用ができていない理由は何でしょうか?
「監査ログの定期的なチェックや運用ができていない理由はなぜですか?(複数回答可)」という質問では、「ログ解析ができない(難しい)(32.8%)」と回答された方が最も多く、次いで「設定が多すぎて手を付けづらい(29.4%)」「監視やチェックに膨大な時間がかかる(27.5%)」と続きました。(※図中では、数値を小数点以下切り捨てで表しています。)
監査ログの取り扱いには専門的な知識が必要となることから、監査ログのチェックが難しい、手を付けづらいなどといったハードルを感じてしまい、監視や運用がしっかりできていないという企業が多いようです。
また、情報セキュリティ監査の際には、情報資産の保護という観点で、セキュリティ上リスクのあるファイル共有設定やゲストユーザーの招待といったクラウドサービスの設定が監査対象となります。これらは、クラウドサービスの最新の仕様や自社のポリシーに合わせて適切に設定する必要があります。
今回、「クラウドサービスの設定状況について、第三者による設定チェックのサービスを受けたことがありますか?」という質問には、「ある(33.8%)」「ない(45.3%)」「ツールを利用している(8.9%)」「分からない(12.0%)という回答結果になりました。(※図中では、数値を小数点以下切り捨てで表しています。)
では、監査ログのチェックや運用、そしてクラウドサービスの設定が適切にできていないと、どのようなインシデントのリスクが生じてしまうのでしょうか? 詳細は「中小企業の情シス1,000人に聞いた!『クラウドサービスのセキュリティ対策』実態調査」の資料をぜひご覧ください。企業・組織でクラウドサービスを利用する際の注意点や課題、またクラウドサービスの設定において、どのような点に不安を持っているかなどを掲載したレポートとなっています。皆様がより良いセキュリティ体制を構築できるよう、本調査結果がお役に立てば幸いです。
◎資料ダウンロードはこちら(無料)
https://go.motex.co.jp/l/320351/2023-06-19/91grvx
■ MOTEXについて(調査発表元)
MOTEXは「Secure Productivity」をミッションに掲げ、プロダクト・サービスの提供を通じて、お客様が抱えるサイバーセキュリティの課題解決を支援する「総合セキュリティカンパニー」です。安全と生産性の両方を実現し、お客様がエンドポイントやネットワーク、ITサービスを安心してご利用いただけるよう、これまで培ってきた技術と豊富な知見で、世界水準のプロダクト・サービスをご提供します。
MOTEXが提供するサイバーセキュリティブランド“LANSCOPE”では、エンドポイントにおけるIT資産管理・情報漏洩対策・ウイルス対策から、ネットワークやクラウド環境におけるセキュリティ診断・セキュリティソリューション、総合的なコンサルティングまで、幅広い自社プロダクト・サービスをラインナップに取り揃えています。
■ “LANSCOPE セキュリティオーディター”について
“LANSCOPE セキュリティオーディター”は、Microsoft 365 の監査ログを収集し、利用状況の見える化や、情報漏洩などのインシデントにつながる操作の把握を可能とします。また、レビュープラットフォーム「ITreview」では、サービスデスク・インシデント管理の部門でLeaderを獲得するなど、お客様からも高い評価をいただいています。
<主要機能>
1. Microsoft 365 の監査ログ管理:
Microsoft 365 の監査ログを保管し、ログ検索・レポーティング
2. ビジネスチャットでアラート通知:
ご利用中のビジネスチャットと連携し、管理者や各社員にアラートを自動通知
3. FAQボット機能での問い合わせ対応の自動化:
ノーコーディングで、FAQボットや定期通知
◎ “LANSCOPE セキュリティオーディター”の詳細はこちら
https://www.syncpit.com/
■ “LANSCOPE プロフェッショナルサービス”について
“LANSCOPE プロフェッショナルサービス”は、サイバーセキュリティのさまざまな領域に対し、セキュリティプロフェッショナルの知見を活かした「セキュリティ診断」と「セキュリティ製品・ソリューション」で、巧妙化するサイバー攻撃などのリスクから組織を守ります。
近年、サイバー攻撃の巧妙化や、新たに発見される脆弱性・情報漏洩事故など、企業が抱えるセキュリティリスクは増大しています。“LANSCOPE プロフェッショナルサービス”には、情報処理安全確保支援士などの難関国家資格を有するエンジニアやコンサルタントが在籍しており、各種のセキュリティ診断は、長年、官公庁(自治体)をはじめとする幅広い企業・組織に提供実績があります。
「クラウドセキュリティ診断」サービスでは、クラウドサービスの設定不備や、クラウド上に構築されたアプリケーションの安全性について、老舗診断ベンダーとして豊富なノウハウを持つセキュリティエンジニアが手作業での診断を行い、お客様の環境を丁寧にチェックし、具体的な対策を反映したレポートを提供します。
◎ “LANSCOPE プロフェッショナルサービス”の「クラウドセキュリティ診断」詳細はこちら
https://www.lanscope.jp/professional-service/service/assess_consulting/cloudsecurity_assess/
■ MOTEX会社概要
|
社名 |
エムオーテックス株式会社 |
|
所在地 |
〒532-0011 大阪市淀川区西中島5-12-12 エムオーテックス新大阪ビル |
|
代表 |
代表取締役社長 宮崎 吉朗 |
|
事業内容 |
サイバーセキュリティに関するプロダクト開発・サービス事業 |
|
資本金 |
2,000万円 |
|
株主 |
京セラコミュニケーションシステム株式会社(資本比率:100%) |
|
URL |
・記載の会社名およびプロダクト名・サービス名は、各社の商標または登録商標です。
・プロダクトの仕様・サービスの内容は予告なく変更させていただく場合があります。
・記載の内容は発表日時点のものです。最新の情報と異なる場合がございますのでご了承ください。
<お客様からのお問い合わせ>
各サービスサイトよりお問い合わせください。
▶“LANSCOPE セキュリティオーディター”プロダクトサイト
https://www.syncpit.com/
▶“LANSCOPE プロフェッショナルサービス”サービスサイト
https://www.lanscope.jp/professional-service/