目次
一般化するSaaS活用と増加するセキュリティリスク
SaaS(Software as a Service)の業務利用は一般的となってきました。Eメールやファイル共有、ビジネスチャット、ビデオ会議、プロジェクト管理、CRM(顧客関係管理)、顧客サポートなど、あらゆる業務でSaaSが活用されています。
国内では、ITシステムの新規構築や更新時にSaaSの導入を優先的に検討する「SaaSファースト」の企業が約4割に上るという報告があります。また、クラウド活用が日本よりも盛んだと言われる米国において、企業は平均して110ものSaaSアプリケーションを導入しているとの調査※もあります。
※出典:BetterCloud社「State of SaaS Ops 2021」
SaaSの活用が一般化する一方で、あまりに多くのSaaSが用いられているために、その管理が煩雑になるという課題が指摘されるようになりました。セキュリティに関わる管理作業が行き届かない場合、情報漏えいや不正侵入のリスクが高まり、大きな被害につながる恐れがあることから、SaaSのセキュリティ対策に追われる企業が増えているのです。
前述した米国の調査では、SaaSを管理する上での重要な課題として、半数以上の企業がユーザーの活動やデータの所在に関する「可視性の欠如」を挙げています。そのため、「どこに機密情報があるか分からない」「機密情報の意図しない公開」といったセキュリティ上の懸念につながっているのが現状です。
そして、情報漏えいの危険因子として「悪意なき社員の油断」を上げたSaaS活用企業は83%に上り、「悪意ある社員(6%)」「外部の攻撃者(11%)」を大きく上回りました。通常通り業務を遂行している従業員でさえも、セキュリティに関する訓練や啓蒙が十分でないために、機密情報を危険にさらしてしまうのです。
SaaSを日常的に使用している企業では、対策を社員個人に任せるのではなく、組織として対策を講じる必要に迫られています。
SSPMの特徴と関連するソリューション
セキュリティリスクの監視を自動化するツールとしてSSPM(SaaSセキュリティ体制管理)が提案されています。SaaSにおけるセキュリティ設定の不備や、過剰なアクセス権限設定、不審なアプリケーションからのアクセスの有無などを監視・検知・可視化し、SaaSを介した情報漏えいを防ぐのが目的です。
SSPMはまず、SaaSアプリケーションと連携し、多要素認証の導入状況、パスワード管理、データ漏えいの保護といったセキュリティ設定の情報を収集します。また、過剰な権限が付与されていないか、不要なユーザーが有効化されていないかといったアクセス権限を監視する機能もあります。
そして、組織のセキュリティポリシーや法令順守に違反するリスクのある状況を特定し、警告を発したり、修正方法を提案したりするのがSSPMの主な機能です。
クラウドセキュリティの分野ではCASB(Cloud Access Security Brokers)と呼ばれるソリューションも知られています。CASBはユーザーとクラウドサービスの間に設置され、リスクのあるファイル転送の検知やマルウェアの検出、あるいは、IT部門が認識していないクラウドサービスを使用するシャドーITの把握などを目的とするものです。
SSPMはSaaS管理者の設定ミスのような組織内部の問題を未然に防ぐのを目指しているのに対し、CASBはユーザーのリスクある挙動を事後的に検知するものと考えられます。加えて、SSPMはSaaSを対象にしている一方、CASBはPaaS/IaaSを含めたクラウドサービス全般を対象にしているという違いもあります。
また、SSPMと似た用語としてCSPM(Cloud Security Posture Management)というソリューションも開発されています。SaaSアプリケーションに限らず、PaaS/IaaSを含めて、そのセキュリティ体制を強化するものです。複数のパブリッククラウドを利用している場合でも、セキュリティ設定状況を自動的に検証し、修正の支援や脆弱性の検出、インシデント対応を一元的に実施します。
SaaS利用の落とし穴とSSPM導入の効果
SaaSアプリケーションはインストールが不要なため、複数のデバイスで利用することができます。また、クラウド上で操作を行うため、同時編集や更新性に優れているほか、パッケージと比較して導入コストが低い傾向にあります。また、ユーザー数やストレージ容量なども変更ができる柔軟性が魅力です。
SaaSはメリットが多い一方、SaaSベンダのシステムやサーバーへのサイバー攻撃といった被害の影響をユーザーが受けるリスクがあります。社内システムとデータ連携をしているSaaSがサイバー攻撃にあった場合、SaaSにウィルスが伝播するリスクも考えられます。
また、SaaSのユーザー側で機能追加や変更に合わせた設定の見直し対応ができておらず、設定不備が原因で情報漏洩を起こす事例も多数発生しています。SaaS利用による情報漏洩や不正アクセス被害の拡大リスクを防止する効果的な手段として、SSPMの導入があげられます。
SSPMの主な機能は、SaaSのセキュリティ設定やアクセス権限を自動で監視し、不適切な設定や過度なアクセス権限を検出することです。SSPMは企業のセキュリティポリシーや法的コンプライアンスに関するリスクも特定し、警告や修正の検討に役立ちます。また、SaaSのセキュリティリスクを効果的に管理する機能の他にも、SaaSの運用管理の負荷を削減し、IT部門の生産性を向上させる効果があることもSSPMの注目するべき点といえます。
SSPMを導入する具体的なメリット
以下ではSSPMを導入する主要なメリットを解説します。
(1)コンプライアンス管理の簡素化
個人情報保護の規制が強化される流れに従い、あらゆる企業はプライバシー保護の取り組みを推進する必要に迫られています。クレジットカード情報を扱うPCI DSS(Payment Card Industry Data Security Standard)や、ヘルスケアデータの管理に関わるHIPAA(Health Insurance Portability and Accountability Act)など、業界によってはデータ管理に大きな影響を与える規制を遵守しなければなりません。
これらの機密情報は、今や、社内のシステムだけではなく、社外のSaaSアプリケーションに分散して管理されるようになりました。多数存在するSaaSアプリケーションそれぞれでコンプライアンスを遵守できるよう、アクセス管理や暗号化設定を徹底しなければなりません。SSPMは、社内のポリシーや規制対応の遵守状況を継続的に可視化するのに役立ちます。
(2)SaaSアプリケーションの設定ミスを防止
SaaSを利用する上では、設定ミスが情報漏えいの大きなリスクとなっています。例えば、ある時点ではアクセス権限が正しく設定されていたとしても、組織の変更や管理者の離職といったイベントの後、時間が経過すると共に、誤った状態で設定が放置されてしまう状況が考えられます。
SSPMは過剰な権限付与のような設定ミスを検知し、アイデンティティ管理に関する業界標準のベストプラクティスを適用するのを助けます。
(3)セキュリティリスクと運用負荷を低減
前述のとおり、平均して100以上のSaaSが組織に導入されている今、IT部門の管理作業は膨大なものとなり、その生産性向上は喫緊の課題です。管理作業が煩雑なために脆弱性やアクセス設定の不備を放置し、セキュリティリスクをもたらしてしまう恐れもあります。
SSPMは、SaaS管理に必要な情報を自動的に収集してリスクの高い状況を警告する機能によってIT部門におけるSaaS運用負荷軽減に寄与します。このSaaS運用の自動化・効率化を進める取り組みは「SaaSOps」とも呼ばれています。SaaSOpsを実際の運用体制に導入するためにも、SSPMは有効なツールとなり得るでしょう。
最後に
業務に柔軟性・効率性をもたらすSaaSの活用は、今後も続いていくことが見込まれています。クラウドサービスの利用状況を可視化するCASBの導入は、多くの企業で進んできましたが、SaaSのセキュリティ管理においては十分とは言えません。
「悪意なき社員の油断」からインシデントが発生し得る状況を考慮すると、SSPMを活用し、内部からの情報漏えいを未然に防いでいく対策も必要となってきます。セキュリティ強化に加え、管理者の負荷軽減にもつながるソリューションの導入について検討するべき時期が来ているのではないでしょうか。