プレスリリース配信元：Visional

～セキュリティ未対策項目TOP10発表。「防御」は進展する一方、「復旧（レジリエンス）」対策に遅れ～

株式会社アシュアード（本社：東京都渋谷区、代表取締役社長：大森 厚志）は、クラウドサービスのセキュリティ信用評価「Assuredクラウド評価」が2025年に実施したクラウドサービス（SaaS）のセキュリティ評価データに基づき、2025年のクラウドサービス（SaaS）におけるセキュリティ対策の実態を調査しました。
※本調査を引用される際には、「Assuredクラウド評価調べ」と必ずご記載ください。
＜調査結果サマリー＞
◆ 全体傾向：セキュリティスコア70点以上のサービスが増加し、SaaS全体のセキュリティ水準は向上の傾向。一方で、基本的なセキュリティ対策が不足する「70点未満」のサービスが依然として約3割（27.4%）存在。
◆ 2025年 クラウドサービス事業者の未対策項目TOP10：認証や脆弱性対応などの「防御」対策は進むものの、バックアップや復旧訓練といった「レジリエンス（回復力）」に関する対策は停滞または後退。
◆ AI動向：AIを利用・開発するSaaSは約半数（49.1%）。預託データをAI学習に利用するケースはそのうちの約2割。

調査結果詳細

1. セキュリティスコアの全体傾向：水準は向上するも、約3割で基本的な対策に懸念
2025年に実施したAssuredのセキュリティ評価において、全般的なセキュリティ対策が実施されている目安となるスコア「70点以上」の割合は合計で72.6%（85点以上：37.2%、70～84点：35.4%）となり、前年と比較して増加傾向にあります。これは、多くのSaaS事業者が標準的～高度なセキュリティ対策の導入を進めており、昨今のサイバー攻撃リスクの高まりに対応しようとする姿勢の表れと考えられます。

一方で、スコアが70点未満のサービスは27.4%存在します。この層では基本的なセキュリティ対策に複数の懸念点が残っており、利用企業の期待値に届かない可能性があるサービスが依然として約3割存在するとみるべき状況です。

＜スコア定義（傾向）＞85点以上：網羅的にセキュリティ対策が行われ、大きな懸念はありません／70～84点：全体的にセキュリティ対策がなされており、懸念はあるものの限定的な傾向にあります／60～69点：一定のセキュリティ対策がなされているものの、注意が必要な懸念点が複数ある傾向にあります／50～59点：セキュリティ対策が不十分な可能性があります／50点未満：全体的にセキュリティ対策が不十分な可能性があります

2. 2025年 クラウドサービス事業者のセキュリティ未対策項目TOP10
Assuredクラウド評価が実施するセキュリティ評価の項目のなかで、実施率の低い対策上位10項目は以下となりました。



2024年の調査結果と比較して大きな差異はありませんでした。セキュリティ対策として実施に時間やコストがかかるものが結果的に実施率が低くなっていると推測されます。

特にリスクベース認証は実施率が低く、後述のMFA実装率が上昇傾向ではあるものの、MFAが回避されるケースもあるため、IPアドレス制限を組み合わせるなどしてより安全なログイン環境にしていくことが重要です。

3. 防御対策は進展するも、レジリエンス（復旧）対策は不足
対策項目別の実施率を見ると、「防御」と「復旧」で傾向が分かれました。

ユーザー認証におけるMFA（多要素認証）の実装は53.0％（+4.5pt）、EOLや脆弱性情報の収集は82.5％（+7.5pt）、セキュリティパッチの適用は87.7%（+5.5pt）など、外部からの攻撃を直接的に防ぐ「防御」に関わる対策実施率は軒並み上昇しています。

対して、システム障害や攻撃被害からの回復を担う「レジリエンス」関連の対策は遅れが見られます。リストア（復旧）テストの実施は50.2%（前年比▲1.6pt）、実機を使った障害訓練は35.0%（前年比▲0.9pt）と、実施率は横ばいか微減となりました。ランサムウェア被害など、広範囲のデータ損失リスクがある中で、復旧対策の遅れはSaaS利用企業にとって重大な懸念材料となり得ます。



4. SaaSにおけるAI利活用の実態
SaaS提供におけるAIの利用・開発割合は49.1%となり、約半数のサービスでAI活用が進んでいます。AIガバナンスに関しては、「利用者向け利用規約の作成・明示」が60.9%（前年比+6.8pt）と進展が見られます。また、利用企業が特に懸念する「預託データをAIの学習・チューニングに利用する」割合は、AI利用サービス全体の19.9%（前年比▲4.3pt）に減少しました。これはSaaS全体で見ると約1割に相当します。



＜調査概要＞
・調査件数：2609件
・調査日：2025年12月9日
・調査対象：「Assuredクラウド評価」（旧：Assured）のセキュリティ調査に回答済みのクラウドサービス事業者
※小数点第二位を四捨五入しているため、合計が100%にならない場合があります。
※本調査を引用される際には、「Assuredクラウド評価調べ」と必ずご記載ください。

株式会社アシュアード Assured事業部 セキュリティエキスパート　真藤 直観　コメント

2025年は、大手企業を含め多くの組織でランサムウェアなどのサイバー攻撃による重大な被害が表面化しました。事業継続を揺るがす大規模なシステム停止や、顧客・取引先への多大な影響、そして信頼の失墜など、その影響は甚大です。もはや、外部からの「侵入を完全に防ぐ」ことだけでは不十分であり、インシデント発生を前提とした「いかに迅速に復旧するか」というレジリエンス（回復力）の重要性が、社会全体で再認識されています。

こうした観点はSaaSにおいても同様かそれ以上に重要です。しかしながら、本調査結果で明らかになったのは、2025年のSaaSセキュリティは「防御重視」の傾向が強く、「侵入前提・障害前提」の対策はまだ途上にあるということです。SaaSを利用する企業においては、表面的なセキュリティ機能の有無だけでなく、万が一のサービス停止やデータ消失に備えた「バックアップ・復旧体制（レジリエンス）」が十分かを確認することが、事業継続の観点でより重要になっています。

当社は今後も、客観的な評価データの提供を通じて、クラウドサービスの安全な活用と企業のセキュリティガバナンス向上を支援してまいります。



【クラウドサービスのセキュリティ信用評価「Assured」について】
「Assured」は、SaaS/ASPなどのクラウドサービスの安全性を可視化するプラットフォームです。セキュリティの専門家による第三者評価の結果をプラットフォーム上で共有管理することで、信頼できる評価情報を誰もが簡単に入手できる、これまでにないセキュリティ評価の仕組みを提供します。2025年現在、金融機関150社を含む1,000社以上の企業に導入され、クラウドサービスの安心・安全な活用促進を支えています。
URL：https://assured.jp/cl

【セキュリティの信用評価プラットフォーム「Assured（アシュアード）」について】
「Assured」は、セキュリティの信用評価を行い、その評価情報を共有管理するプラットフォームです。企業セキュリティの新たな評価方式を確立することで、すべての企業を調査作業から解放し、業界全体の透明化を目指します。また、客観的な評価指標により、企業の信頼保証としての活用や、評価に基づく自律的な改善が促されるなど、社会全体のセキュリティ強化に貢献します。
URL：https://assured.jp/
X：https://twitter.com/AssuredJP

【株式会社アシュアードについて】
「信頼で、未知を拓く。」をミッションとし、企業のセキュリティ対策を支援するサービスを運営。産業のデジタルトランスフォーメーション（DX）を推進するさまざまな事業を展開するVisionalグループにおいて、サイバーセキュリティ領域を担い、脆弱性管理クラウド「yamory（ヤモリー）」、クラウドサービスのセキュリティ信用評価「Assured（アシュアード）」、取引先企業のセキュリティ信用評価「Assured企業評価」を展開。インターネットですべてが繋がる社会において、信頼から新たな繋がりを作り、新しい可能性を社会に生み出していくことを目指す。
URL：https://assured.inc

【株式会社アシュアード 採用情報】
「信頼で、未知を拓く。」
デジタル化が進む社会において、「信頼」を巡る課題を解決するアシュアード。
ともに未来をつくる仲間を、募集しています。
[Assured 採用情報] https://assured.inc/careers/assured
[yamory 採用情報] https://assured.inc/careers/yamory
https://www.youtube.com/watch?v=qCijGjsXgsk

企業プレスリリース詳細へ
PR TIMESトップへ

PR TIMES