独立行政法人情報処理推進機構(IPA)は3月30日、クラウドサービスのサプライチェーンリスクマネジメント調査の結果を公開した。
IPAでは、クラウドサービスの中でも利用者が急増し市場が拡大するSaaSに着眼し、SaaSのサプライチェーンのセキュリティ対策について調査を実施、SaaSのサプライチェーンのインシデント情報の収集と分析、脅威、リスク、今後の課題などを明らかにしている。
同調査は、2020年4月~2021年9月末に公表されたSaaSのサプライチェーンのインシデント情報45件及び脆弱性情報24件を収集し、その分類、発見場所、公表年、発見の経緯、区分、原因、被害内容、対応内容、再発防止策を収録している。
また、SaaS事業者、SaaS事業者が加盟している組織、2019年10月から2021年9月の間にクラウドサービスのセキュリティ対策に関する刊行物を発行している組織、またはクラウドサービスのセキュリティ対策に関するイベントを実施している組織、SaaS開発時のセキュリティ対策に関する専門性を持つ人物が所属している組織を対象に選定した5組織13名にインタビュー調査を行っている。
同調査で収集したインシデント情報として、マッチングアプリサービス「Omiai」への不正アクセス、テストカバレッジツール「Codecov」のスクリプト改ざんによる情報漏えい、ネットワーク管理・監視製品「Orion Platform」からの情報漏えいの3件を取り上げ、概要図を作成した上で詳細を取り上げている。
調査資料はPDF63ページで、構成は下記の通り。
1. 本調査の背景と目的
1.1. ITサプライチェーンリスクマネジメントに関するこれまでの調査
1.2. クラウドサービス活用を取り巻く社会情勢
1.3. クラウドサービスの拡大に伴うセキュリティの懸念
1.4. 本調査の目的
1.5. SaaS事業者が抱える課題の想定
2. 調査方法
2.1. インシデント及び脆弱性情報の調査
2.2. インタビュー調査
3. 調査結果
3.1. インシデント及び脆弱性情報調査結果
3.2. インタビュー調査結果
4. 本調査のまとめ
4.1. 想定した課題との違い
4.2. 新たに指摘された課題
4.3. 団体・有識者の課題認識
4.4. SaaSが抱える脅威・リスク
4.5. 今後深堀すべきポイント
付録 インシデント及び脆弱性情報一覧
![人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典] 画像](/imgs/std_m/43329.jpg)
