情報セキュリティ

クラウドサービス(SaaS)のサプライチェーンリスクマネジメント実態調査

公開日:2023年7月24日

最終更新日:2024年6月18日

独立行政法人情報処理推進機構
セキュリティセンター

クラウドサービス(SaaS)の情報開示とその情報の収集や利用に関する実態調査の結果を公開

 コロナ禍以降クラウドサービス(SaaS)の利用が増加しています。しかし、SaaSの選定時にセキュリティリスクの検討やセキュリティが対策を十分考慮されずに導入されたり、運用時の確認や設定変更がされずに脆弱性が放置されたりすることでサプライチェーンのセキュリティリスクが高まっています。さらに、SaaSの活用に係る多くのインシデントが報告されており、利用者が多いことから影響の拡大が深刻になっています。

 このような状況に対して、ガイドラインの発行、見直しや認証制度等様々な政策・取組が行われています。IPAでは2021年度にまつわるSaaSのサプライチェーンのインシデントや脆弱性情報の収集と分析および有識者インタビューにより脅威、リスク、今後の課題などを明らかにしました。その結果「SaaS事業者は、個人情報の保護の方針を含めたSaaSのセキュリティを保証する情報を開示する習慣の確立が必要であり、またSaaS利用者のセキュリティ設定ミスへの対策として安全な利用方法のSaaS利用者への案内(周知)が必要であることが指摘されました。

 これを受け、2022年度調査では、情報開示、情報利用の実態をSaaS事業者、SaaS利用者にアンケート調査及び有識者へのインタビュー調査により把握いたしました。

調査結果のポイント

  1. 事業者が情報を開示する、または利用者が情報を収集する目的は、一番に安心してクラウドサービスを利用するため、次いで責任範囲を明らかにするためであり、両者の目的は一致していることが分かった。(概要説明書 P12,13)
  2. 事業者は情報開示の必要性を認識しており、情報の内容によってHPで広く公開する、要求ごとに対応するなど、その方法を変えている。しかし、技術的対策や物理的対策は、問い合わせがなければ開示しない傾向にある。(概要説明書 P15,16)
  3. 利用者は、公開されている情報を中心に手探りで情報収集していることが多い。そのため、基準やガイドで求められる項目に対しては網羅性が低い。また、情報は収集するものの、十分利用しきれていない。(概要説明書 P14,15,16)
  4. 事業者は、情報の開示・提供に対応する工数がかけられない、手続きが煩雑すぎるといった課題を挙げている。その要因としては、対応が必要である情報の種類・数が多いことが挙げられる。(概要説明書 P16,18)
  5. 利用者は、情報が多すぎること、情報収集・利用に工数がかけられないことを課題に挙げている。実際に、公開されている情報から必要な情報を絞り込み、比較検討するといったことは容易ではない。しかも、その情報の網羅性は低く、対策検討には不十分である可能性がある。
  6. クラウドサービスの安全な利用のためには、事業者は利用者にとって収集しやすい情報を開示する、利用者はSaaSの選定・運用に必要な情報を取り決め、公開されていない情報があれば問い合わせて収集する、といった対策の実施・見直しを行う必要がある。
  7. 事業者が指針やガイドラインに基づく認証・認定制度を活用することは有効であると考えられる。ISMSやプライバシーマークについては知名度があり、取得済みの事業者も多い。ただし、クラウドサービス固有の対策を強化するためには他の基準・認証にも目を向ける必要がある。
  8. 利用者にとって、第三者機関が専門性をもって確認した結果を参考にすることは有効であると考えられる。基本的要件については認証・認定の有無により確認し、一定の保証がされている前提で、自社固有のセキュリティ要件や条件についてのみ問い合わせることで効率よく選定ができる。

アンケート調査概要

利用者企業・組織を対象としたSaaSのセキュリティに関わる情報開示、情報利用の実態について、事業者と利用者の間の認識の違いによる脅威やリスク、課題などに関する調査をするために、アンケート調査を実施した。

対象とした事業者

(1)調査対象

SaaSの提供者である事業者

(2)対象とするサービス

業務での利用を目的としたSaaS
(日本国内の企業・組織向けに提供しているSaaSで、日本語で情報開示を行っている事業者を対象とした。)

(3)回答者

サービス担当者もしくは準ずる役員、従業員
(自社で提供しているSaaSの開示情報や利用者向けの情報発信に関する質問に回答できる人)

(4)収集方法

郵送による書面アンケートとウェブアンケートを併用

(5)収集期間

2022年11月29日~2022年12月28日

(6)収集数

147件(うち有効回答144件)

対象とした利用者

(1)調査対象

SaaSを業務で利用している利用者

(2)回答者

業務でSaaSを利用している企業・組織に属し、2020年4月以降にSaaSの導入に際して選定や承認に従事した経験を有する役員、従業員、および、IT部門(IT担当者)に属する従業員

(3)業種

情報通信業、製造業、卸売業・小売業、金融業・保険業、医療・福祉、サービス業(他に分類されないサービス業)。(他に分類されないサービス業には、運輸業、郵便業、不動産業、物質賃貸業、学術研究、専門・技術サービス業、宿泊業、飲食サービス業、生産関連サービス業、娯楽業、教育、学習支援業を含む。)

(4)収集方法

リサーチ会社登録モニターを利用したウェブアンケート

(5)収集期間

2022年12月5日~2022年12月7日

(6)収集数

以下表に記載

業種別収集数表

製造業

116(大規模企業 61、中小規模企業 55)

情報通信業

112(大規模企業56、中所規模企業56)

サービス業

116(大規模企業58、中所規模企業58)

卸売業・小売業

56

金融業・保険業

23

医療・福祉

34

457

インタビュー調査

SaaS事業者が加盟している団体やコミュニティに属する有識者およびSaaSの調査や研究に携わる有識者から、「SaaSのセキュリティを保証する情報開示」および「セキュリティの高い状態でSaaSを利用してもらうための情報提供」の動向、アンケート調査結果に対する意見を収集するため、インタビュー調査を実施した。

インタビュー調査結果

(1)実施形式

Web会議ツールを利用し、オンラインでのインタビューを実施

(2)実施時期

アンケート設計段階…2022年10月
アンケート分析段階…2023年1月

(3)実施対象

以下表に記載

インタビュー実施対象表

  調査先 実施フェーズ
A SaaS利用者(情報通信業) アンケート設計段階
B SaaS利用者(飲食業) アンケート設計段階
C 有識者(SaaS関連団体)
アンケート設計段階
アンケート分析段階
D 有識者(SaaS関連団体) アンケート分析段階
E 有識者(セキュリティコンサルタント) アンケート分析段階
F 有識者(学識経験者) アンケート分析段階
G SaaS事業者 アンケート分析段階

報告書のダウンロード

実施者

お問い合わせ先

本件に関するお問い合わせ先

IPA セキュリティセンター 小山/森

  • E-mail

    isec-infoアットマークipa.go.jp

更新履歴

  • 2024年6月18日

    「調査報告書」公開

  • 2023年7月24日

    「エグゼクティブサマリー」「概要説明書」 公開