設定不備の基礎知識： SaaSアプリの設定において設定不備の原因となる3つのV

セキュリティ事業メニュー

セキュリティ事業
HOME

選ばれる
理由

サービス

取扱メーカー

事例・レポート・
ブログ・用語集

セミナー・
オンデマンド動画

TOP

製品・サービス

製品
- Adaptive Shield 商品情報
- SaaS設定監査レポートサービス

ソリューション

ソリューション
- Adaptive Shield ソリューション | クラウドセキュリティソリューションの違い

ユーザー事例

サポート

- Macnica Support

セミナー・コンテンツ

資料請求

お問い合わせ

イベント・セミナー

オンデマンド動画

SaaSアプリの展開と導入が容易になったのは素晴らしいことですが、その利点はまたたく間に諸刃の剣になりました。SaaSツールが利用可能になったことで、社員の誰もがどこでも仕事をできるというメリットをもたらしました。しかし、SaaSアプリの利用増加は、ITチームとセキュリティチームに困難な課題を突きつけています。

CISO（最高情報セキュリティ責任者）やセキュリティの専門家によれば、過去1年間に発生したセキュリティインシデントの主な原因はSaaSの設定不備にあり、その割合はなんと63%です。設定不備は様々な要因によって引き起こされますが、その上位3つは次の3つのVに関連しています。

Visibility（可視性）

SaaSのセキュリティはSaaS固有のパラドックスがあります。本来であれば、SaaSアプリのセキュリティ設定管理責任を負う必要がある管理者が、重要な権限を持っているにもかかわらず、ほとんどの場合セキュリティ部門の所属でないという現状があります。事業部門がSaaSアプリを所有しているのは、SaaSアプリを使えば仕事を効率的に処理できるからです。しかし、これらの所有者や管理者は、セキュリティに関する専門のトレーニングを受けているわけではなく、セキュリティ対策に真剣に取り組んでもいません。彼らは部署のKPIの向上を目指して仕事をしているにすぎません。

例えば、Hubspotは通常マーケティング部門が所有しており、Salesforceはたいてい事業部門や営業部門が所有しています。しかし、企業が所有する数多くのSaaSアプリのセキュリティを保護することはセキュリティチームの責任であり、それを効果的に実行するための必須条件は、SaaSアプリの完全なコントロールと可視性です。セキュリティチームは、たいていは使用中のセキュリティプロトコルも知らないまま、設定を確認してインシデントを解決するために、膨大な数のアプリ所有者に先回りして連絡する必要があります。

Volume（量）

数字で言えば、企業は数百から数千のSaaSアプリを所有しています。どのファイルを共有できるか、MFA（多要素認証）が必要か、ビデオ会議で録画が許可されているかなど、個々のアプリには数多くのグローバル設定項目があります。この数字に数千、数万（あるいは数十万）の社員数を掛けた数の設定項目が管理の対象になります。

セキュリティチームは、個々のアプリに固有のルールや設定を熟知し、それらが企業のポリシーに準拠していることを確認する必要があります。何百ものアプリ設定、何万ものユーザーロールと権限があるため、その作業量はたちまち持続不可能なレベルに達します。セキュリティチームが知らないうちに企業のエコシステムに日々追加されるSaaS連携アプリがその難しさに拍車をかけていることは言うまでもありません。

Velocity（速度）

SaaSアプリの環境は動的であり、進化し続けています。社員の追加と削除が繰り返され、新しいアプリが次々と導入される中、権限や設定項目は、絶えず設定され、リセットされ、変更されます。それに加えて、外部スタンダードやベストプラクティス（NIST、SOC2、MITREなど）に対応するための継続的なコンプライアンスの更新があり、その確認も必要になります。セキュリティチームは、全社規模ですべての設定が例外なく正しく行われていることを継続的に確認する必要があります。Volumeの「V」で述べた大量のアプリと設定項目を考えれば、その作業は数百時間もの継続的な仕事と労力に相当します。これはとても持続可能とは言えません。

SaaSのセキュリティ管理を実現する方法

企業がSaaSアプリの導入ペースを鈍化させる気配はありません。つまり、当分の間、新しいアプリの統合が行われるたびに新たな設定のセキュリティ保護が必要になります。企業がコントロールを取り戻すには、これら3つのV、すなわちVolume、Velocity、Visibility（の欠如）がもたらす課題をすべて解決できるソリューションが必要です。

企業は、以下の機能を備えたSSPMなどの自動化ソリューションを導入することで、設定不備の管理がもたらす負担を軽減できます。

監視機能とアラート機能：
アプリ別、ユーザー別、セベリティ別、またはSaaSの設定不備に関連するその他の基準のチェックを実行し、設定変更発生したときにアラートを受け取ります。
自動化と修復機能：
SaaSの設定不備を修正する正しい方法を１つ１つわかりやすく示します。
ユーザーインベントリ：
すべてのSaaSアプリに垣根なくわたるユーザーの管理と調査を可能にします。調査の範囲は、特定のアプリへのユーザーアクセスから、特権ロールとアクセス許可、特権ユーザーを中心とするセキュリティチェックの失敗にまで及びます。
コンプライアンスのマッピング：
SaaSのセキュリティチェックをNIST、SOC2、ISOなどの主要な業界標準と比較して、それらの標準への準拠や独自のカスタム企業ポリシーの構築を図ります。

設定不備の管理は、セキュリティチームがセキュリティ保護すべき重要な領域の1つですが、企業が所有する数多くのSaaS保護するための唯一の領域ではありません。SaaS連携アプリのアクセスと検出、デバイスからSaaSへのユーザー管理も重要な領域です。適切なSSPMソリューションを使用すれば、セキュリティチームは設定不備をコントロールできるだけでなく、これらのユースケースの定義を通じて組織全体のSaaSセキュリティを確保することができます。

お問い合わせ・資料請求

株式会社マクニカ　Adaptive Shield 担当

お問い合わせ資料請求

TEL：045-476-2010
E-mail：AdaptiveShield-sales@macnica.co.jp

月～金 8：45～17：30