2024年6月13日、クラウドサービス(SaaSなど)事業者のサプライチェーン管理に関する実態調査が実施された。
同調査は2024年1月1日から6月7日までの期間、セキュリティ評価プラットフォーム「Assured」(ビジョナルグループが運営)に回答したクラウドサービス事業者からの回答878件を基に行われた。
同調査によると、システム開発や保守・運用に関するサプライチェーン管理において、クラウドサービス事業者の約57.9%が外部委託先を利用しており、そのうち39.4%が利用者のデータを外部委託先で取り扱っていた。
しかし15%~20%の事業者が、外部委託先と「セキュリティ対策」や「情報の消去」を合意しておらず、8.7%が事前合意の履行状況を確認していない、10.8%が外部委託先の定期的な評価を実施していないことが判明している。
また、日本国外のサプライチェーン管理体制については、約2割のクラウドサービスが預託データを海外に保管またはアクセスされる状況にある。
3割以上が再委託先の監督や各措置の実施を合意していないことがわかっており、このようなクラウドサービスは情報管理の透明性が低く、セキュリティリスクが高まる可能性が懸念されるという。
Assuredの調査結果は、クラウドサービス事業者がサプライチェーン管理に関して一定の対策を講じている一方で、依然として一部の事業者では管理が不十分な状況があることを示した。
企業はクラウドサービスを利用する際に、サービス本体のセキュリティ対策だけでなく、委託先の管理状況も確認することが重要とし、クラウドサービス事業者は委託先管理の実施状況を積極的に公開し、透明性を高める努力が求められるとして締めくくっている。
【参考記事】
【2024年上半期セキュリティレポート Vol.1】SaaS事業者のサプライチェーン管理の実態
https://assured.jp/