情報セキュリティ

クラウドサービスのサプライチェーンリスクマネジメント調査

公開日:2022年3月30日

最終更新日:2022年5月31日

独立行政法人情報処理推進機構
セキュリティセンター

クラウドサービスのサプライチェーンリスクマネジメント調査の結果を公開

働き方改革や新型コロナウイルス感染防止対策の一つとしてテレワークが定着したことで、クラウドサービスの利用が増加し、クラウドサービスの導入時にセキュリティリスクの検討やセキュリティ対策を考慮せずに導入してしまうケースも多く、ITサービスの提供や利用におけるITサプライチェーンのセキュリティリスクが高まってきました。さらに、クラウドサービスの活用に係る多くのインシデントが報告されており、クラウドサービスに係るセキュリティリスクが注目されています。

そこで、今年度は今般のICTの環境の変化に伴い利用が不可欠となったクラウドサービスの中でも利用者の急増に伴い市場が拡大しているSaaSに着眼してSaaSのサプライチェーンのセキュリティ対策について調査し、SaaSのサプライチェーンのインシデント情報の収集と分析および脅威、リスク、今後の課題などを明らかにしました。

調査結果のポイント

  1. SaaSのサプライチェーン上のリスクの所在としては、利用しているSaaSやOSSなどが発端となり、インシデントや脆弱性に発展する可能性が高いと考えられる。(概要説明資料 P11)
  2. SaaS開発時のセキュリティ対策において「セキュリティに割くリソースの不足」、 「継続的なリリースの中で機能の複雑化に対応できず検討が不十分になる可能性」などの課題が指摘された。(概要説明資料 P15)
  3. SaaS運用時のセキュリティ監視においては、監視対象である脆弱性情報が大量に存在し、また、それらを悪用した攻撃の開始までの猶予が短いため、個々の対応に追われてしまい、監視の知識や情報を蓄積し、活用できるように整理することが困難な現状であることが指摘された。(概要説明資料 P15)
  4. SaaS事業者は、個人情報の保護の方針を含めたSaaSのセキュリティを保証する情報を開示(*1)する習慣の確立が必要であることが指摘された。(概要説明資料 P15)
  5. SaaS利用者のセキュリティ設定ミスへの対策として、安全な利用方法(*2)のSaaS利用者への案内(周知)が必要であることが指摘された。(概要説明資料 P15)
  1. (*1)
    SaaSのセキュリティを保証する情報
    • 「SaaS 事業者の開発におけるセキュリティの対策内容」「利用している製品」 「連携している組織」「認証取得情報」など。
  2. (*2)
    安全な利用方法
    • セキュリティの高い状態で SaaS を利用してもらうための情報、 たとえば「セキュリティにおけるSaaS 事業者と利用者の責任分界点」「セキュアな設定方法」など。

調査の実施概要

調査は以下の通り、インシデント及び脆弱性情報の調査(文献調査)とインタビュー調査により実施した。

インシデント及び脆弱性情報の調査(文献調査)

(1)収集条件

  • SaaSの開発・運用に関連し、SaaS事業者またはSaaS利用者に影響があると考えられるもの
  • SaaSの開発・運用に関して業務委託を行っている場合は、SaaS事業者に影響を及ぼす「委託先で発生したインシデント」や「委託先で利用するソフトウェア等に関する脆弱性」についても調査対象とした
  • SaaS利用時の設定ミス等、SaaS利用者に起因するインシデント
  • 日本国内に限らず海外のインシデントも対象とした

(2)収集方法

書籍、Webニュース、企業・組織の公式サイト等の公開情報

(3)収集項目

インシデントor脆弱性の分類・発見場所・公表年・発見の経緯・区分・原因・被害内容・対応内容・再発防止策

(4)収集期間

2020年4月~2021年9月末に公表されたもの

(5)収集数

インシデント情報45件、脆弱性情報24件

インタビュー調査

(1)選定条件

以下のいずれかに該当する組織を対象として選定

  • SaaS事業者が加盟している組織
  • 上記組織に属するSaaS事業者
  • 2019年10月から2021年9月の間に
    クラウドサービスのセキュリティ対策に関する
    刊行物を発行している組織
    クラウドサービスのセキュリティ対策に関する
    イベントを実施している組織
  • SaaS開発時のセキュリティ対策に関する専門性を持つ人物が所属している組織

(2)実施方法

実施時期

2022年1月

時間

各組織につき約1時間

実施形式

Web会議ツールを利用し、オンラインでのインタビューを実施

(3)調査内容

インシデント及び脆弱性情報の調査で得られた分析結果およびSaaSに係るサプライチェーンやSaaS事業者が抱えるセキュリティ上の課題について想定される課題案に対して、以下の見解を得る。

  • インシデント及び脆弱性情報の調査結果に対する見解 考慮すべきSaaSの脅威、リスクまたは重要と思われるインシデント及び脆弱性等について
  • SaaS自体が抱える脅威やリスク、SaaS開発時のセキュリティ対策に関する課題案に対する見解
    課題案の整理において不足する観点や、作成した課題案とSaaS利用者、事業者から見た実態との相違

(4)実施数

5組織13名

調査報告書の目次

  1. 本調査の背景と目的
    • 1.1. ITサプライチェーンリスクマネジメントに関するこれまでの調査
    • 1.2. クラウドサービス活用を取り巻く社会情勢
    • 1.3. クラウドサービスの拡大に伴うセキュリティの懸念
    • 1.4. 本調査の目的
    • 1.5. SaaS事業者が抱える課題の想定
  2. 調査方法
    • 2.1. インシデント及び脆弱性情報の調査
    • 2.2. インタビュー調査
  3. 調査結果
    • 3.1. インシデント及び脆弱性情報調査結果
    • 3.2. インタビュー調査結果
  4. 本調査のまとめ
    • 4.1. 想定した課題との違い
    • 4.2. 新たに指摘された課題
    • 4.3. 団体・有識者の課題認識
    • 4.4. SaaSが抱える脅威・リスク
    • 4.5. 今後深堀すべきポイント

付録 インシデント及び脆弱性情報一覧

報告書のダウンロード

実施者

報告書のダウンロード

お問い合わせ先

本件に関するお問い合わせ先

IPA セキュリティセンター セキュリティ対策推進部 小山/森

  • E-mail

    isec-infoアットマークipa.go.jp

更新履歴

  • 2022年3月30日

    「調査報告書」 公開

  • 2022年5月31日

    調査結果のポイント追記
    「概要説明資料」改訂 1.1版公開
    「調査報告書 本文」改訂 1.1版公開
    「調査報告書 付録 インシデント及び脆弱性情報一覧」 追加公開