日本クラウドセキュリティアライアンス(CSAジャパン)は8月14日、「SaaSセキュリティに関する年次調査報告書」を公開した。同書は、CSA本部が公開している「「The Annual SaaS Security Survey Report」の日本語版となるもの。
調査結果では、SaaSエコシステム内でのセキュリティインシデントが大幅に増加していることが明らかになった。過去2年間にSaaSにおけるインシデントを経験したと回答した組織は全体の55%を占めた(前年から12%増加)。また、経験していないと回答したのは全体の32%であり、「不明」は12%であった。
インシデントの内容では、「データ漏えい」(58%)、「悪意のあるアプリ」(47%)、「データ侵害」(41%)、「SaaSランサムウェア」(40%)が上位を占めた。堅牢なセキュリティ対策の必要性と、SaaS環境の拡大に伴う潜在リスクへの認識がともに高まっていることが浮き彫りになった。
また、現在のSaaSのセキュリティ戦略と方法論が十分に行き届いていないことも明らかになった。SaaSセキュリティソリューションにより「すべてのSaaSを監視している」と回答した組織は全体の7%にとどまり、「50%以下のSaaSを監視している」(33%)、「25%以下のSaaSを監視している」(28%)と、半数以上の組織が50%以下のSaaSしか監視していない。
SaaSアプリケーションのセキュリティを確保するために、多くの企業はクラウドアクセスセキュリティブローカー(CASB)と手動監査に頼っている。しかし、これらの手法はいくつかの重要な分野で不十分であることが判明しており、特に手作業による監査にはセキュリティインシデントのリスクが発生すると指摘している。
調査結果ではこのほか、SaaSアプリケーションのセキュリティ確保におけるステークホルダーが拡大していること、SaaSセキュリティがSaaS間アクセス、デバイス間リスク管理、アイデンティティとアクセスガバナンス、アイデンティティ脅威検出と応答(ITDR)など、より幅広い懸念事項を包含するように適応していることも取り上げている。
さらに、SaaSへの投資とSaaSのセキュリティリソースが激増していることも明らかになっている。71%の組織がSaaS向けセキュリティツールへの投資を増やしており、68%の企業がSaaSセキュリティに関するスタッフの雇用とトレーニングへの投資を強化している。さらに、66%の企業がビジネスクリティカルなSaaSアプリケーションへの投資を増加させており、コアビジネス機能におけるこれらのツールへの依存度の高まりを反映している。
