SaaS全体にわたる権限の適正化

セキュリティ事業メニュー

セキュリティ事業
HOME

選ばれる
理由

サービス

取扱メーカー

事例・レポート・
ブログ・用語集

セミナー・
オンデマンド動画

TOP

製品・サービス

製品
- Adaptive Shield 商品情報
- SaaS設定監査レポートサービス

ソリューション

ソリューション
- Adaptive Shield ソリューション | クラウドセキュリティソリューションの違い

ユーザー事例

サポート

- Macnica Support

セミナー・コンテンツ

資料請求

お問い合わせ

イベント・セミナー

オンデマンド動画

SaaSにおける7つの大罪の１つが、過剰な権限付与です。過剰権限は、データ流出や壊滅的なデータ侵害に直結する問題であり、本来なら別のサイバー脅威に振り分けられるはずのリソースの無駄使いにつながります。
このような現象は、様々な理由で発生します。「アクセス権の追加申請に対応するのが面倒だ」「チームメンバーが重要なリソースにアクセスできずに生産性が阻害されると困る」などと考える管理者が、あらかじめすべてのアクセス権をユーザに付与することもあります。また、通常の管理者が、何らかの理由で不在の際にも業務を代行できるよう、複数の特権アカウントを作成しておいてチームで共有するようなケースもあるでしょう。
社内のSaaSデータを適切に保護するには、権限を適正な範囲で付与し、最小特権原則に沿ったポリシーを作成する必要があります。

最小権限の原則とは

すべてのユーザアカウントが、アプリケーションを安全に保てるか否かの境界だと考えると、個々のアカウントへのアクセスを制限するのはごく当然です。仮に特権アカウントの認証情報が侵害された場合、甚大な被害を招きかねません。
不正な目的を達成するために巧妙な手口で特権アカウントに侵入した攻撃者が、アプリケーション全体へ横移動する可能性もあります。　
最小権限の原則では、各ユーザの業務遂行に必要なデータ、リソース、アプリケーションに限ってアクセス権を付与します。ユーザのニーズに応じて権限レベルを適正化しておけば、たとえ攻撃されても乗っ取られるのは侵害されたアカウントのみとなるため、被害の範囲を狭めることができます。

権限の適正化

従業員のニーズに合わせて権限をカスタマイズする作業は、一筋縄ではいかないこともあります。ほぼすべてのSaaSアプリケーションには何らかの形でロールベースのアクセス制御（RBAC）機能が備わっていますが、自社固有のニーズを正確に充足できるように利用するには、この機能の設定をアプリケーションの構成設定時にきめ細かく調整しなければなりません。
SaaS管理者による、アプリケーションを使用する個々の従業員への適切なレベルのアクセス権の割り当て作業を容易にするには、各アプリケーションにおけるロールの定義が必要です。　
さらに、特権クリープに陥らないよう管理者が目配りする必要もあります。特権クリープには、同僚が不在の期間、あるいは特定のプロジェクトに従事している期間中に通常より高い権限を付与されたまま、元に戻すのを失念して生じるというケースなどがあります。
このほか、Salesforce上でも特権クリープが多発しがちです。ユーザは特定のファイルにアクセスできないと、主にチケットを起票して必要な情報へのアクセス許可を申請します。Salesforceアプリケーション内のアクセス制御には何百種類もの設定項目があります。アクセス権付与に必要な構成設定項目を管理者側で把握できていない場合、「すべてのデータを表示」という権限を付与するケースが散見されます。アプリケーション全体にアクセスできるという、ユーザに過剰なアクセス権が付与されてしまい、社内のデータが不要なリスクにさらされます。残念ながら、こうした形での過剰権限の問題が解消されることは滅多にありません。

管理者が多すぎるのはトラブルの元凶

SaaSアプリケーションの管理者が多すぎると、アプリケーションの統制を維持することがほぼ不可能になります。管理者権限を持つユーザなら誰でも、後先を考えずに、自らのニーズに合わせて随時、設定を変更できてしまうためです。
ほとんどの管理者は、アプリケーションから最大限の価値を引き出そうとする、少なくとも、業務を迅速に遂行しようとするビジネスユーザです。こうした管理者が「多要素認証（MFA）のせいで生産性が低下している」と感じたり、「リンクを使って誰とでも」ファイルを共有したいと思った場合、必要な変更を行う手段を持ち合わせていることになります。
これらは良い意図をもって行われたかもしれませんが、MFAを無効化したり、ファイルのダウンロードをすべてのユーザに許可したりすると、データ流出やSaaSへのランサムウェア攻撃など、深刻な問題につながるおそれがあります。権限を適正化し、管理者の人数を制限することは、この上なく重要です。

リスクの回避

権限を適正化するうえで、SSPM（SaaS Security Posture Management）ソリューションが大いに役立ちます。SSPMを利用することで、高い権限を持つユーザを特定し、当該ユーザの人数が一定の閾値を超えた時点でセキュリティチームにアラートを配信することができます。
多くのSSPMソリューションはユーザ情報を提供しているため、セキュリティチームは権限適正化に向けたポリシー設計に必要なユーザーデータをすべて確認できます。SSPMは、アイデンティティおよびアクセス管理（IAM）ツールとは異なるため、IAMの代替として使うことはできませんが、IAMソリューションが想定どおりに動作していることを確認するためのガバナンス手段としては有効です。
こうした自動化ツールを活用することで、ユーザへの過剰権限付与を抑止し、SaaSアプリケーション全般のデータを常時保護することができます。

お問い合わせ・資料請求

株式会社マクニカ　Adaptive Shield 担当

お問い合わせ資料請求

TEL：045-476-2010
E-mail：AdaptiveShield-sales@macnica.co.jp

月～金 8：45～17：30