SaaS セキュリティに関する 6 つのベスト プラクティスと戦略

クラウド コンピューティングと SaaS の台頭により、デジタル環境は劇的に変化し、企業にはスケーラビリティ、コスト効率、柔軟性など多くのメリットがもたらされています。実際、米国の 5 大 SaaS 企業の合計時価総額は 7,424 億ドルです。 Salesforce は米国で 2 番目に大きな SaaS 企業であり、専門サービス、製造、小売、銀行、金融、メディア、ライフサイエンス、保険、不動産など、世界中に 150,000 社を超える顧客を抱えています。ただし、SaaS にはメリットとともに多くのセキュリティ上の課題が伴うため、SaaS セキュリティは運用部門と IT 部門の両方にとって不可欠な要素となっています。いくつかのベストプラクティスと戦略に従うことで、組織はセキュリティリスクに適切に対処し、潜在的な脅威を軽減できます。

業界の専門家は最近、SaaS セキュリティ分野で波紋を呼んだ事件を発見しました。それは、今年初めに Salesforce で発生したデータ侵害です。 Salesforce の公開コミュニティ サイトの設定ミスにより、銀行、政府機関、医療機関など、膨大な数の顧客が、機密情報や個人情報を知らないうちに公開してしまいました。セキュリティの脆弱性により、認証されていないユーザーがログインしたユーザーが保存した記録にアクセスできる可能性があります。こうした事例の 1 つがバーモント州で発見されました。同州では、少なくとも 5 つの異なる Salesforce コミュニティ サイトで、ユーザー名、社会保障番号、住所、電話番号、電子メール、銀行口座番号などの機密データが漏洩していることが判明しました。これは、COVID-19失業支援プログラムにとって特に懸念されることだ。バーモント州の最高情報セキュリティ責任者スコット・カービー氏は、欠陥のあるウェブサイトはコロナウイルスの流行に対応して急いで作成されたため、標準的なセキュリティ審査を受けていなかったと述べた。

SaaS セキュリティの理解

現代のデジタル エコシステムでは、多くの企業が複数のクラウド コンピューティング環境を同時に使用しており、機密データの大規模なリポジトリがあるため、SaaS アプリケーションがサイバー犯罪者の主な標的になることがあります。 SaaS セキュリティには、これらの貴重な資産を保護するために SaaS アーキテクチャ内で講じられる対策が含まれます。

2023 年にエンタープライズ アプリケーション セキュリティはどのような課題に直面するでしょうか?

サイバーセキュリティの専門家による 2020 年クラウド セキュリティ レポートでは、ソフトウェア開発ライフサイクル (SDLC) のすべての段階が安全であることを保証するためのツールとテクニックを開発者に提供しています。その内容には、サプライチェーンのセキュリティ、DevSecOps、ゼロトラスト セキュリティの原則、モバイル アプリケーション セキュリティなどが含まれます。

SaaS セキュリティの責任は顧客とプロバイダーが共有する (共有責任モデルとも呼ばれる) ことを理解することが重要です。 SaaS セキュリティ態勢管理システムの登場により、企業は SaaS セキュリティをより効果的に自動化および管理できるようになり、潜在的なセキュリティ侵害に対する強力な防御を実現できます。

SaaS セキュリティを優先することの重要性

企業は IaaS や PaaS に関連するセキュリティ リスクの管理経験があるかもしれませんが、SaaS アプリケーションは、その複雑さ、セキュリティ チームとビジネス チーム間の透過的なコミュニケーションの欠如、継続的なコラボレーションの必要性などにより、独特の課題を抱えています。

McKinsey & Company が実施した調査によると、これらの課題により、ほとんどの企業は SaaS セキュリティへの重点を高めています。これらの企業は、自社の内部セキュリティ機能と SaaS プロバイダーのセキュリティ機能 (共有責任モデル) を重視しています。しかし、セキュリティに対する顧客中心のアプローチの欠如やベンダーによる実装の遅れに不満を表明する人が多かった。

こうした障害があるにもかかわらず、SaaS セキュリティの優先順位は譲れないものです。これらのアプリケーションは、セキュリティを優先しないと危険にさらされる可能性のある大量の機密データを扱うことが多いためです。

責任の共有と SaaS セキュリティの課題

クラウド セキュリティの責任共有モデルでは、クラウド コンピューティング プロバイダー、製品ベンダー、顧客がそれぞれ管理下にあるセキュリティ対策に対して責任を負う必要があります。 SaaS では、アプリケーション プロバイダーが物理インフラストラクチャ、ネットワーク、オペレーティング システム、およびアプリケーションを担当し、顧客がデータと ID 管理を担当します。

しかし、SaaS の導入が急速に増加したことにより、これらのアプリケーションがもたらす新たなリスクや脆弱性にセキュリティ チームが対応できる能力が追いつかなくなっています。すぐに使用できるセキュリティ設定は企業の標準を満たさない可能性があり、カスタマイズによってセキュリティがさらに困難になります。 Oracle と ESG の共同レポートによると、企業の 66% が SaaS の共有責任モデルがわかりにくく、データが潜在的なリスクにさらされていると感じていることがわかりました。

ここでは、企業、特に SaaS プロバイダーの顧客が SaaS セキュリティを強化するのに役立つ 6 つのベスト プラクティスと戦略を紹介します。

（１）本人確認の処理

クラウド プロバイダーはさまざまな方法で認証を処理できるため、セキュリティ チームは、使用される各 SaaS サービスでサポートされている認証方法を理解することが重要です。 SaaS プロバイダーがサポートしている場合、組織の Active Directory に関連付けられたシングル サインオンは適切なオプションです。これにより、すべての SaaS アプリケーションにわたってアカウントとパスワードのポリシーを統一できます。ここでも、会社の従業員と IT スタッフが要件を継続的に把握できるように注意する必要があります。どのような標準化も、すべての従業員が持つべき基本的なセキュリティ知識に取って代わることはできないからです。

（２）データの暗号化

トランスポート層セキュリティを使用して転送中のデータを保護し、保存中のデータの暗号化を有効にすることは、SaaS セキュリティの重要な側面です。企業は、各 SaaS サービスが提供するセキュリティ対策を調査し、利用可能な場合は暗号化を有効にする必要があります。 AWS などの一部の SaaS プロバイダーは、AWS 環境で開発または展開されているあらゆるサービスに暗号化とデータ保護を統合するための API を顧客に提供しています。

（３）複雑でカスタマイズされた構成

中規模企業では通常、185 を超える SaaS アプリケーションが使用されており、それぞれが特定のニーズを満たす独自の調整可能なコントロールと設定を備えています。ただし、これらの構成を手動で管理するのは、その量が膨大で一貫性がないため、セキュリティ チームにとって困難な作業です。機能性とセキュリティのバランスを取ることは複雑な作業になります。 SaaS アプリケーションをカスタマイズして最大限の価値を引き出すと、デフォルトのセキュリティ設定が損なわれることが多く、企業のセキュリティとコンプライアンスのニーズと矛盾する可能性があります。さらに、SaaS アプリケーションと内部システム間の相互作用により、異常や弱い構成の検出が複雑になります。 2020 年のクラウド セキュリティ レポートでは、クラウド プラットフォームの誤った構成が最大のセキュリティ上の脅威であり、資格のあるスタッフの不足がこれらの環境のセキュリティ確保における主な障壁であると特定されています。適切なセキュリティ構成が実装されていない場合、この組み合わせにより潜在的な脆弱性が生じる可能性があります。

（4）在庫チェックリスト

SaaS の使用状況を追跡することは、特にアプリケーションが迅速に展開される場合は困難になる可能性があります。手動のデータ収集手法と自動化ツールの両方を使用して、使用中のすべてのサービスとそれらを使用しているユーザーの最新のインベントリを維持します。もう 1 つの推奨事項は、オンプレミスまたはサブスクリプション モデルのダッシュボードを使用して、企業全体のアクセスを完全に監視、観察、制御し、不正アクセスが許可されないようにすることです。

（５）クラウドアクセスセキュリティプロキシツールを使用する

場合によっては、クラウド アクセス セキュリティ ブローカー ソリューションは、特に SaaS プロバイダーが適切なレベルのセキュリティを提供していない場合に、SaaS セキュリティの強力な武器となることがあります。クラウド アクセス セキュリティ ブローカーを使用すると、企業は SaaS プロバイダーによってネイティブにサポートされていない制御を追加できます。ただし、今日のほとんどの SaaS プロバイダー、特に Salesforce のような大規模なプロバイダーは、セキュリティを強化するための追加オプションを提供しています。

（６）状況認識

クラウド アクセス セキュリティ ブローカー ツールからの SaaS の使用状況とデータ、および SaaS プロバイダーが提供するデータとログを追跡すると、貴重な洞察が得られます。体系的なリスク管理アプローチを採用することで、SaaS の安全でセキュアな使用が保証されます。その多くは、セキュリティと状況認識を中心に構築された企業文化に関係しており、特に小規模な組織では見落とされがちな重要な側面です。

SSPMソリューションの活用

Cynet が提供するような SSPM ソリューションは、SaaS セキュリティを大幅に強化できます。 SSPM システムは SaaS アプリケーションを継続的に監視し、規定されたセキュリティ ポリシーと実際のセキュリティ体制の間のギャップを特定します。これにより、SaaS 資産内のセキュリティ リスクを自動的に識別して修復し、リスクと構成ミスを重大度に応じて優先順位付けできるようになります。

結論は

デジタル環境が進化し続け、SaaS アプリケーションの人気が高まるにつれて、SaaS セキュリティはこれまで以上に重要になります。これらのベスト プラクティスに従うことで、企業は SaaS アプリケーションを効果的に保護し、安全でセキュアなデジタル エコシステムを確保できます。 SaaS セキュリティは企業とプロバイダーの共同責任であり、両者がデータの整合性とセキュリティを維持するために必要な手順を実行する必要があることを覚えておくことが重要です。