SaaS セキュリティ: 現代のセキュリティ管理における新たな課題

[[408295]]

大規模な組織のセキュリティ チームのメンバーに「SaaS セキュリティ」という話題を持ち出してみてください。 「ええ、当社のセキュリティは大規模な SaaS プラットフォームによって処理されています。素晴らしいですね」という声が聞こえるかもしれませんし、長いため息の後に「ええ、それはすぐに修正しなければなりません…」という声が聞こえるかもしれません。

いずれの場合でも、SaaS 顧客がセキュリティ義務を認識していないこと、またはその責任の履行が遅れていることは、懸念すべきことです。

私が実施した SaaS 脆弱性評価の 55% で、SaaS 環境から匿名のインターネットにデータが漏洩していることが判明しました。当社の SaaS 脆弱性評価の 95% で、外部 SaaS ユーザーのアカウントの過剰プロビジョニングが明らかになりました。さらに、各 SaaS 環境では、平均 42 個のサードパーティ アプリケーションが接続されていることがわかりました。この 42 台のうち 22 台は通常は機密データにアクセスできるものの、6 か月以上使用されていませんでした。

その他のセキュリティ シナリオでは、機密データへのアクセス権を持つ顧客ユーザーの過剰プロビジョニングは、直ちに修正する必要がある高リスクの問題であると断言できます。接続目的ではなく、重要なビジネス データにアクセスする目的を持つサードパーティ統合を排除する必要性について説明します。当社のデータが匿名のインターネット上に漏洩する問題が発生した場合、当社は直ちに対応策を講じ、IR チームや法務チームを招集して対応の実現可能性を評価することもあります。他のセキュリティ ドメインでは、これらの結果はセキュリティ チームに受け入れられないでしょう。ただし、SaaS の場合、これらすべての状況は一般的です。なぜ私たちの足元でこのようなことが起きているのでしょうか?

まず、この世代の優秀な営業担当者は、オンプレミス アプリケーションに伴う継続的なセキュリティ問題に対する解決策は SaaS プラットフォームであると、長い間経営幹部に伝えてきました。

実のところ、これは完全に真実ではありません。 SaaS アプリケーションには、プロバイダーのアーキテクチャ向けのセキュリティが組み込まれており、業界最高のセキュリティ専門家によって強化され、厳密にテストされています。しかし、SaaS 所有権モデルの一部は完全に管理が不十分であり、こうした管理の不備は、エンドユーザーである私たちが責任を負う構成で発生しています。

実際、ガートナーは、2025 年までにクラウド セキュリティ インシデントの 99% が顧客の問題によって発生すると述べています。過去数年間、クラウドの誤った構成がセキュリティ体制に悪影響を及ぼす可能性があることを私たちは目の当たりにし、こうした問題の解決に全力で取り組んできました。 SaaS アプリケーションでも同じことを行う必要があります。そうしないと、過去 5 年間懸命に保護してきた同じデータを公開することになり、クラウド セキュリティの進歩が損なわれてしまいます。

SaaS セキュリティのベールを剥ぐことに対しては、依然として不安が残っています。それは、より多くの作業、より多くの予算、そしてより多くの不安を必要とする結果が明らかになるからです。しかし、クラウド データ侵害を経験した企業に尋ねれば、従業員のロードマップを狂わせ、間もなく発生する非常に予測可能な問題を解決するための予算を懇願するような悪いニュースに緊急に対応するよりも、積極的に行動する方が優れており、コストも安いと答えるでしょう。現代の安全チームは、事故が発生する前に行動を起こす必要があることを認識しています。

良いニュースとしては、SaaS 展開にセキュリティ制御を組み込む動きが活発化していることです。多くの組織は、アプリセキュリティにおいてハイブリッド アプローチを有効にし、展開プロセスにセキュリティを組み込んでいます。これらの実践により、コストを節約し、効率を向上させ、さらに重要なことに、文化の発展を促進することができます。組織がアプリケーション セキュリティに対する積極的な取り組みをやめる理由はありません。むしろ、重要な SaaS アプリケーションとクラウド インフラストラクチャの管理にこれらのプラクティスを組み込むことは、今後何年にもわたって間違いなくベスト プラクティス アプローチとなるでしょう。

ここでは、組織が SaaS セキュリティ プログラムを開始するために実行できる手順をいくつか紹介します。

スケーラブルなアプローチに投資する

現在のセキュリティ ツールセットは、ネットワーク アクティビティに反応し、自社所有の内部システムや監視対象システムに保存されている重要なデータを心配していた時代に合わせて構築されました。これらのセキュリティ ソリューションは、私たちが今まさに迎えている SaaS 主導の時代には適応できません。ただし、新しい革新的なソリューションを通じてテクノロジーを自動化する必要性を認識しない限り、SaaS セキュリティ プログラムの拡張はチームにとって負担になります。 SaaS 環境の極めて俊敏な性質により、企業の展開を真に保護するには、一定レベルの自動化とビジネスの「製品化」が必要になります。まず、SaaS セキュリティ体制を自動化し、ベスト プラクティスからの逸脱を検出できるソリューションと戦略を調査して特定します。

これは独自の安全機能であり、独自のスペースに値することを認識する

これはクラウド インフラストラクチャの構成問題を解決するのと同じだと思い込む罠にはまらないようにしてください。現実には、IaaS セキュリティでは、3 つの主要プラットフォーム (ヨーロッパやアジアで事業を展開している場合は 4 つまたは 5 つ) のみを扱えばよいことになります。 IaaS の原則はかなり相互運用可能であり、すべての主要プラットフォームでの経験を持つ人材のプールが大きくあります。

ただし、SaaS の世界では、1,000 個のアプリケーションを扱うことになり、そのうち 10 ～ 20 個が重要なデータや機密データを扱うことになります。コントロールは各 SaaS アプリケーションごとに固有であり、資産の保護に役立つアプリケーション間の相互運用性に関する知識はほとんどまたはまったくありません。各 SaaS アプリケーションの専門家を雇用してリソースを提供し、この人員配置の問題を自ら処理することを検討してください。問題を手作業で解決するために必要な人材をすべて雇用するよりも、既存の従業員にすべてを処理させる可能性が高くなります。

ITチームと一緒にコントロールしましょう

これによってチームの調和が少し損なわれることを認識してください。あなたの事業部門のマネージャーは、チェックされることに慣れていないかもしれません。彼らは何年もの間、セキュリティ チームによる監視をほとんど受けずに、機能がシームレスに動作することを保証してきました。最終的にこれらのビジネス機能を監視することで、会社をデータ侵害による損害から保護する代わりに、それらの業務をより困難にすることになります。したがって、早い段階で IT 管理者を会話に参加させ、共通点を特定するようにしてください。 IT 管理者は、チームの労力を消耗させることなく、展開のセキュリティを確保したいと考えていることを認識しているため、SaaS 展開のセキュリティ レビューで得られる効率性に焦点を当てることは、関心の高いトピックとなっています。

要約すると、SaaS アプリケーションが外部および内部の攻撃者にとって主要な攻撃対象領域の 1 つとなる新しい時代に入りつつあります。既存のアプローチは目的に適合していませんが、自動化を活用し、社内の SaaS セキュリティ プログラムを構築することで、チームはこの分野の将来に備えることができます。