
安心・安全なSaaS利用に向けて
目次[非表示]
クラウドサービス利用を拡大予定の大手企業群
セキュリティ評価プラットフォーム「Assured(アシュアード)」を運営する株式会社アシュアードの調べによれば、大手企業(従業員数1,000名以上)の約7割が、クラウドサービスの利用拡大を予定しているようです。
また、同様に、大手企業の約7割がクラウドサービスに対してセキュリティ評価を実施している。生産性向上やイノベーション創出への寄与が期待され、社会全体でDXの機運が高まる一方で、多発するサイバー攻撃等の脅威に対する取り組みが実践されているようです。
出典:クラウドサービスのセキュリティ評価実態調査|株式会社アシュアード
自社のセキュリティ評価に課題を感じ、不安が生じている
では、セキュリティ評価が広範に実施されているのであれば、ユーザー企業は安心してSaaSを利用できているのでしょうか。
実は、上記調査でセキュリティ評価を実施していると回答した企業の内、約9割がその評価自体に課題を感じているようです。例えば、セキュリティ評価で頻繁に活用される“セキュリティチェックシート”ですが、8割以上の企業がセキュリティチェックシートに課題があると感じており、不安が生じている現状がうかがえます。
日本のサイバーセキュリティレベルは?
2023年9月時点、GDPトップ10の国の内、日本のサイバーセキュリティレベルはワースト2位でした。
当該ランキングでは、「デジタル化(ICTやネットワーク化の進展)レベル」と「サイバーセキュリティレベル」のGAPが基準となっており、サイバーセキュリティの成熟度以上にデジタル化が先行した結果を反映しているようです。このGAPが大きいほど、サイバー攻撃のリスクが高いと言えるわけです。
出典:The National Cyber Security Index (NCSI)|e-Governance Academy
上場企業および中小企業の実態
実態を見てみたいと思います。
2024年に上場企業とその子会社が公表した個人情報の漏えい・紛失事故は、189件(前年比8.0%増)で、漏えいした個人情報は1,586万5,611人分(同61.2%減)でした。
事故件数は調査を開始した2012年以降、2021年から4年連続で最多を更新。漏えい・紛失人数は、100万人超えの大型事故が相次いだ2023年(合計4,090万8,718人分)からは減少したものの、日本の総人口が約1億2,000万人ですからその13%に該当する個人情報が1年間で漏えい・紛失したことになります。
出典:2024年「上場企業の個人情報漏えい・紛失事故」調査|株式会社東京商工リサーチ
中小企業はどうでしょうか。全国の中小企業4,191社を対象とした調査において、過去3期内でサイバーインシデントの被害を受けたと回答した企業975社(約23%)、被害額の平均は73万円、復旧までに要した期間の平均は5.8日と被害を受けています。
にもかかわらず、約7割の企業が「情報セキュリティ対策を組織的には行っていない(各自の対応)」と回答、さらに「情報セキュリティ対策投資をしていない」と回答した企業も約6割にのぼります。
なんと、これらの回答割合は2021年度調査よりも増加してしまっている現状となっています。
出典:2024年度中小企業等実態調査結果(速報)|独立行政法人情報処理推進機構(IPA)
日本政府や機関の対応
こうした事態を背景に、政府によるガイドラインの発行、見直しや認証制度など様々な政策・取り組みが進んでいます。
経済産業省では、サイバー攻撃から企業を守る観点で、経営者が認識する必要がある事項及び経営者が情報セキュリティ対策を実施する上での責任者となるCISO(Chief Information Security Officer:最高情報セキュリティ責任者)等に指示すべき事項をまとめた「サイバーセキュリティ経営ガイドライン」を策定しており、2023年3月にVersion3.0に改訂されました。
また、国内企業間でサイバーセキュリティ対策を行う際の共通言語としての役割を担うべく、中小企業向けには、独立行政法人情報処理推進機構が「中小企業の情報セキュリティ対策ガイドライン」を策定、2024年12月に第3.1版に改訂されました。
出典:サイバーセキュリティ経営ガイドライン|経済産業省
出典:中小企業の情報セキュリティ対策ガイドライン|独立行政法人情報処理推進機構(IPA)
企業の安全・安心なSaaSの利用のために行うべきこと
最後に、SaaS利用者やサービス提供事業者はどうすれば良いか、具体的な一例として2023年7月に独立行政法人情報処理推進機構のレポートで紹介されたフレームワークをご紹介します。
対策は大きく2つです。
①指針・ガイドラインを用いた情報開示・情報収集の網羅性の確保
利用者:指針やガイドラインを参考に、SaaSの選定や運用に必要な情報を取り決め、収集する
事業者:利用者が収集しやすい情報開示を行う配慮をする
②認証・認定制度を活用した安全な提供・導入・運用
利用者:認証・認定制度を選定条件にする
事業者:認証・認定の取得、活用
出典:2022年度クラウドサービス(SaaS)のサプライチェーンリスクマネジメント実態調査概要説明資料|独立行政法人情報処理推進機構(IPA)
弊社の取組
株式会社Inner Resourceは、2025年2月7日、ISMSの国際規格「ISMS(ISO27001)」の認証を東京本社で取得しました。
当該認証は、上記レポートによれば、SaaS提供者である事業者147件へのアンケート調査において、約6割の事業者が取得済と回答した、同レポートで集計する認証・認定制度においてもっとも取得率の高い認証です。
Inner Resourceはさらに信頼性の高いサービス提供を目指し、適切な情報セキュリティ対策の維持・向上に努めてまいります。