情報セキュリティ
公開日:2023年7月24日
最終更新日:2024年6月18日
独立行政法人情報処理推進機構
セキュリティセンター
コロナ禍以降クラウドサービス(SaaS)の利用が増加しています。しかし、SaaSの選定時にセキュリティリスクの検討やセキュリティが対策を十分考慮されずに導入されたり、運用時の確認や設定変更がされずに脆弱性が放置されたりすることでサプライチェーンのセキュリティリスクが高まっています。さらに、SaaSの活用に係る多くのインシデントが報告されており、利用者が多いことから影響の拡大が深刻になっています。
このような状況に対して、ガイドラインの発行、見直しや認証制度等様々な政策・取組が行われています。IPAでは2021年度にまつわるSaaSのサプライチェーンのインシデントや脆弱性情報の収集と分析および有識者インタビューにより脅威、リスク、今後の課題などを明らかにしました。その結果「SaaS事業者は、個人情報の保護の方針を含めたSaaSのセキュリティを保証する情報を開示する習慣の確立が必要であり、またSaaS利用者のセキュリティ設定ミスへの対策として安全な利用方法のSaaS利用者への案内(周知)が必要であることが指摘されました。
これを受け、2022年度調査では、情報開示、情報利用の実態をSaaS事業者、SaaS利用者にアンケート調査及び有識者へのインタビュー調査により把握いたしました。
利用者企業・組織を対象としたSaaSのセキュリティに関わる情報開示、情報利用の実態について、事業者と利用者の間の認識の違いによる脅威やリスク、課題などに関する調査をするために、アンケート調査を実施した。
(1)調査対象 |
SaaSの提供者である事業者 |
---|---|
(2)対象とするサービス |
業務での利用を目的としたSaaS |
(3)回答者 |
サービス担当者もしくは準ずる役員、従業員 |
(4)収集方法 |
郵送による書面アンケートとウェブアンケートを併用 |
(5)収集期間 |
2022年11月29日~2022年12月28日 |
(6)収集数 |
147件(うち有効回答144件) |
(1)調査対象 |
SaaSを業務で利用している利用者 |
---|---|
(2)回答者 |
業務でSaaSを利用している企業・組織に属し、2020年4月以降にSaaSの導入に際して選定や承認に従事した経験を有する役員、従業員、および、IT部門(IT担当者)に属する従業員 |
(3)業種 |
情報通信業、製造業、卸売業・小売業、金融業・保険業、医療・福祉、サービス業(他に分類されないサービス業)。(他に分類されないサービス業には、運輸業、郵便業、不動産業、物質賃貸業、学術研究、専門・技術サービス業、宿泊業、飲食サービス業、生産関連サービス業、娯楽業、教育、学習支援業を含む。) |
(4)収集方法 |
リサーチ会社登録モニターを利用したウェブアンケート |
(5)収集期間 |
2022年12月5日~2022年12月7日 |
(6)収集数 |
以下表に記載 |
製造業 |
116(大規模企業 61、中小規模企業 55) |
---|---|
情報通信業 |
112(大規模企業56、中所規模企業56) |
サービス業 |
116(大規模企業58、中所規模企業58) |
卸売業・小売業 |
56 |
金融業・保険業 |
23 |
医療・福祉 |
34 |
計 |
457 |
SaaS事業者が加盟している団体やコミュニティに属する有識者およびSaaSの調査や研究に携わる有識者から、「SaaSのセキュリティを保証する情報開示」および「セキュリティの高い状態でSaaSを利用してもらうための情報提供」の動向、アンケート調査結果に対する意見を収集するため、インタビュー調査を実施した。
(1)実施形式 |
Web会議ツールを利用し、オンラインでのインタビューを実施 |
---|---|
(2)実施時期 |
アンケート設計段階…2022年10月 |
(3)実施対象 |
以下表に記載 |
調査先 | 実施フェーズ | |
A | SaaS利用者(情報通信業) | アンケート設計段階 |
B | SaaS利用者(飲食業) | アンケート設計段階 |
C | 有識者(SaaS関連団体) |
アンケート設計段階
アンケート分析段階 |
D | 有識者(SaaS関連団体) | アンケート分析段階 |
E | 有識者(セキュリティコンサルタント) | アンケート分析段階 |
F | 有識者(学識経験者) | アンケート分析段階 |
G | SaaS事業者 | アンケート分析段階 |
IPA セキュリティセンター 小山/森
2024年6月18日
「調査報告書」公開
2023年7月24日
「エグゼクティブサマリー」「概要説明書」 公開