SaaSのサプライチェーンリスクマネジメント調査結果を公開、「Omiai」への不正アクセス等概要を図で解説 | ScanNetSecurity
2024.03.29(金)

SaaSのサプライチェーンリスクマネジメント調査結果を公開、「Omiai」への不正アクセス等概要を図で解説

 独立行政法人情報処理推進機構(IPA)は3月30日、クラウドサービスのサプライチェーンリスクマネジメント調査の結果を公開した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー

 独立行政法人情報処理推進機構(IPA)は3月30日、クラウドサービスのサプライチェーンリスクマネジメント調査の結果を公開した。

 IPAでは、クラウドサービスの中でも利用者が急増し市場が拡大するSaaSに着眼し、SaaSのサプライチェーンのセキュリティ対策について調査を実施、SaaSのサプライチェーンのインシデント情報の収集と分析、脅威、リスク、今後の課題などを明らかにしている。

 同調査は、2020年4月~2021年9月末に公表されたSaaSのサプライチェーンのインシデント情報45件及び脆弱性情報24件を収集し、その分類、発見場所、公表年、発見の経緯、区分、原因、被害内容、対応内容、再発防止策を収録している。

 また、SaaS事業者、SaaS事業者が加盟している組織、2019年10月から2021年9月の間にクラウドサービスのセキュリティ対策に関する刊行物を発行している組織、またはクラウドサービスのセキュリティ対策に関するイベントを実施している組織、SaaS開発時のセキュリティ対策に関する専門性を持つ人物が所属している組織を対象に選定した5組織13名にインタビュー調査を行っている。

 同調査で収集したインシデント情報として、マッチングアプリサービス「Omiai」への不正アクセス、テストカバレッジツール「Codecov」のスクリプト改ざんによる情報漏えい、ネットワーク管理・監視製品「Orion Platform」からの情報漏えいの3件を取り上げ、概要図を作成した上で詳細を取り上げている。

 調査資料はPDF63ページで、構成は下記の通り。

1. 本調査の背景と目的 
 1.1. ITサプライチェーンリスクマネジメントに関するこれまでの調査 
 1.2. クラウドサービス活用を取り巻く社会情勢 
 1.3. クラウドサービスの拡大に伴うセキュリティの懸念 
 1.4. 本調査の目的 
 1.5. SaaS事業者が抱える課題の想定 
2. 調査方法 
 2.1. インシデント及び脆弱性情報の調査 
 2.2. インタビュー調査 
3. 調査結果 
 3.1. インシデント及び脆弱性情報調査結果 
 3.2. インタビュー調査結果 
4. 本調査のまとめ
 4.1. 想定した課題との違い
 4.2. 新たに指摘された課題
 4.3. 団体・有識者の課題認識
 4.4. SaaSが抱える脅威・リスク
 4.5. 今後深堀すべきポイント
付録 インシデント及び脆弱性情報一覧

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  4. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  5. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  6. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  7. UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

    UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

  8. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  9. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

  10. 「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

    「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

ランキングをもっと見る