情報セキュリティ
公開日:2022年3月30日
最終更新日:2022年5月31日
独立行政法人情報処理推進機構
セキュリティセンター
働き方改革や新型コロナウイルス感染防止対策の一つとしてテレワークが定着したことで、クラウドサービスの利用が増加し、クラウドサービスの導入時にセキュリティリスクの検討やセキュリティ対策を考慮せずに導入してしまうケースも多く、ITサービスの提供や利用におけるITサプライチェーンのセキュリティリスクが高まってきました。さらに、クラウドサービスの活用に係る多くのインシデントが報告されており、クラウドサービスに係るセキュリティリスクが注目されています。
そこで、今年度は今般のICTの環境の変化に伴い利用が不可欠となったクラウドサービスの中でも利用者の急増に伴い市場が拡大しているSaaSに着眼してSaaSのサプライチェーンのセキュリティ対策について調査し、SaaSのサプライチェーンのインシデント情報の収集と分析および脅威、リスク、今後の課題などを明らかにしました。
調査は以下の通り、インシデント及び脆弱性情報の調査(文献調査)とインタビュー調査により実施した。
(1)収集条件 |
|
---|---|
(2)収集方法 |
書籍、Webニュース、企業・組織の公式サイト等の公開情報 |
(3)収集項目 |
インシデントor脆弱性の分類・発見場所・公表年・発見の経緯・区分・原因・被害内容・対応内容・再発防止策 |
(4)収集期間 |
2020年4月~2021年9月末に公表されたもの |
(5)収集数 |
インシデント情報45件、脆弱性情報24件 |
(1)選定条件 |
以下のいずれかに該当する組織を対象として選定
|
---|---|
(2)実施方法 |
|
(3)調査内容 |
インシデント及び脆弱性情報の調査で得られた分析結果およびSaaSに係るサプライチェーンやSaaS事業者が抱えるセキュリティ上の課題について想定される課題案に対して、以下の見解を得る。
|
(4)実施数 |
5組織13名 |
付録 インシデント及び脆弱性情報一覧
IPA セキュリティセンター セキュリティ対策推進部 小山/森
2022年3月30日
「調査報告書」 公開
2022年5月31日
調査結果のポイント追記
「概要説明資料」改訂 1.1版公開
「調査報告書 本文」改訂 1.1版公開
「調査報告書 付録 インシデント及び脆弱性情報一覧」 追加公開