HOME情報セキュリティクラウドサービスのサプライチェーンリスクマネジメント調査

本文を印刷する

情報セキュリティ

クラウドサービスのサプライチェーンリスクマネジメント調査

掲載日 2022年3月30日
独立行政法人情報処理推進機構
セキュリティセンター

   クラウドサービスのサプライチェーンリスクマネジメント調査の結果を公開 

働き方改革や新型コロナウイルス感染防止対策の一つとしてテレワークが定着したことで、クラウドサービスの利用が増加し、クラウドサービスの導入時にセキュリティリスクの検討やセキュリティ対策を考慮せずに導入してしまうケースも多く、ITサービスの提供や利用におけるITサプライチェーンのセキュリティリスクが高まってきました。さらに、クラウドサービスの活用に係る多くのインシデントが報告されており、クラウドサービスに係るセキュリティリスクが注目されています。

そこで、今年度は今般のICTの環境の変化に伴い利用が不可欠となったクラウドサービスの中でも利用者の急増に伴い市場が拡大しているSaaSに着眼してSaaSのサプライチェーンのセキュリティ対策について調査し、SaaSのサプライチェーンのインシデント情報の収集と分析および脅威、リスク、今後の課題などを明らかにしました。(報告書はこちらから)

調査の実施概要

調査は以下の通り、インシデント及び脆弱性情報の調査(文献調査)とインタビュー調査により実施した。

インシデント及び脆弱性情報の調査(文献調査) 

(1)収集条件
  • SaaSの開発・運用に関連し、SaaS事業者またはSaaS利用者に影響があると考えられるもの
  • SaaSの開発・運用に関して業務委託を行っている場合は、SaaS事業者に影響を及ぼす「委託先で発生したインシデント」や「委託先で利用するソフトウェア等に関する脆弱性」についても調査対象とした
  • SaaS利用時の設定ミス等、SaaS利用者に起因するインシデント
  • 日本国内に限らず海外のインシデントも対象とした
(2)収集方法書籍、Webニュース、企業・組織の公式サイト等の公開情報
(3)収集項目インシデントor脆弱性の分類・発見場所・公表年・発見の経緯・区分・原因・被 害内容・対応内容・再発防止策
(4)収集期間2020年4月~2021年9月末に公表されたもの
(5)収集数インシデント情報45件、脆弱性情報24件

インタビュー調査 

(1)選定条件 以下のいずれかに該当する組織を対象として選定 
  • SaaS事業者が加盟している組織
  • 上記組織に属するSaaS事業者
  • 2019年10月から2021年9月の間に
      クラウドサービスのセキュリティ対策に関する
     刊行物を発行している組織
      クラウドサービスのセキュリティ対策に関する
     イベントを実施している組織
  • SaaS開発時のセキュリティ対策に関する専門性を持つ人物が所属している組織
(2)実施方法 実施時期 :2022年1月 
時間   :各組織につき約1時間 
実施形式 :Web会議ツールを利用し、オンラインでのインタビューを実施 
(3)調査内容 インシデント及び脆弱性情報の調査で得られた分析結果およびSaaSに係るサプライチェーンやSaaS事業者が抱えるセキュリティ上の課題について想定される課題案に対して、以下の見解を得る。
  • インシデント及び脆弱性情報の調査結果に対する見解  考慮すべきSaaSの脅威、リスクまたは重要と思われるインシデント及び脆弱性等について
  • SaaS自体が抱える脅威やリスク、SaaS開発時のセキュリティ対策に関する課題案に対する見解  課題案の整理において不足する観点や、作成した課題案とSaaS利用者、事業者から見た実態との相違
(4)実施数 5組織13名

調査報告書の目次

 1. 本調査の背景と目的 
  1.1. ITサプライチェーンリスクマネジメントに関するこれまでの調査 
  1.2. クラウドサービス活用を取り巻く社会情勢 
  1.3. クラウドサービスの拡大に伴うセキュリティの懸念 
  1.4. 本調査の目的 
  1.5. SaaS事業者が抱える課題の想定 
 2. 調査方法 
  2.1. インシデント及び脆弱性情報の調査 
  2.2. インタビュー調査 
 3. 調査結果 
  3.1. インシデント及び脆弱性情報調査結果 
  3.2. インタビュー調査結果 
 4. 本調査のまとめ 
  4.1. 想定した課題との違い
  4.2. 新たに指摘された課題 
  4.3. 団体・有識者の課題認識 
  4.4. SaaSが抱える脅威・リスク 
  4.5. 今後深堀すべきポイント 
 付録 インシデント及び脆弱性情報一覧 

報告書のダウンロード

実施者

本件に関するお問い合わせ先

IPA セキュリティセンター セキュリティ対策推進部 小山/森
E-mail:

更新履歴

           
2022年3月30日調査報告書 公開