企業の SaaS ユーザー通信にセキュリティを組み込む方法

現代の SaaS アプリケーション プロバイダーは、顧客名や電子メール アドレスからアプリケーション コードやサードパーティの API シークレットに至るまで、機密性の高いユーザー情報を毎日処理しています。したがって、企業の評判を維持し、経済的損失を回避するだけでなく、ユーザーの利益を保護するためにも、Web アプリケーションが最高のセキュリティ標準を遵守することがこれまで以上に重要になっています。

顧客とのコミュニケーションは、SaaS セキュリティにおいて見落とされがちな要素の 1 つです。企業が顧客とのコミュニケーションのセキュリティに細心の注意を払い、企業がユーザーに送信する電子メール、プッシュ通知、その他のコミュニケーションに厳格なセキュリティ対策を実施する必要がある理由をいくつか紹介します。また、企業のセキュリティ強化に役立つ提案もいくつか提供しています。

最新の SaaS アプリケーションにおけるセキュリティはどのようになっているのでしょうか?

最新の SaaS アプリケーションの多くはクラウド プラットフォーム上でホストされ、Web インターフェースと API を介してアクセスされます。また、AWS が提供するクラウド サービスなどのサードパーティのホスティング サービスに依存する場合もあります。このようなサービスの例としては、データベース、コンピューティング リソース、機械学習モデルの展開などが挙げられます。アプリケーションのセキュリティ制御を設計する際には、これらすべてのコンポーネントを考慮する必要があります。

従来のオンプレミス ソフトウェアでは、ソフトウェア ベンダーはソフトウェアの開発のみを行い、ホスティングや情報ストレージ サービスの責任は負いません。ソフトウェアのエンドユーザー (より正確には IT 部門) は、購入したソフトウェアを展開する際のデータのセキュリティに責任を負います。ただし、クラウド内のデータセキュリティは SaaS プロバイダーの責任です。 SaaS アプリケーションは、エンドユーザー アプリケーション スタックの中核部分となり、顧客や従業員の記録、アプリケーション コード、サードパーティの秘密や API キーなどの個人を特定できる情報 (PII) を処理できます。したがって、すべての機密情報を保護するために、今日の SaaS サービス専用のセキュリティ対策が不可欠です。

クラウドで実行される初期段階の SaaS アプリケーションにはどのようなセキュリティ対策が必要ですか?理想的には、アプリケーションは最初からセキュリティを考慮して構築する必要があります。アプリケーションがクラウド プロバイダーやその他のサービス プロバイダー、特に AWS のようなクラウド コンピューティングの大手に依存している場合は、厳格なセキュリティが導入されています。しかし、企業は、自社のアプリケーションとクラウド プロバイダー間のあらゆる接続ポイントが保護されていることを確認する必要があり、これらのクラウド プロバイダーの責任とデータの所有権を明確に区別する必要があります。企業は、セキュリティのベストプラクティスについてクラウドプロバイダーのドキュメントを確認し、常に従う必要があります。

企業がアプリケーションやインフラストラクチャに実装する必要がある対策には、暗号化（正しいキーを持つ人だけが情報を復号化できるようにデータを暗号化する）やトークン化（機密情報を使用可能なトークンと交換する）などがあります。トークン化や暗号化によって侵害を完全に防止できるとは限りませんが、データ侵害が発生した場合に実際に使用可能な情報が盗まれるのを防ぐことができます。

すべての顧客データも安全にバックアップする必要があります。データ損失インシデントは、サイバー攻撃インシデントと同様に企業にとって悪影響を及ぼす可能性があるため、最新の SaaS アプリケーションでバックアップから情報を回復する機能は、サービスの回復を成功させる上で非常に重要です。

インシデントやセキュリティ侵害に迅速に対応し、問題を早期に防止するためには、インフラストラクチャ全体を継続的に監視することも必要です。

顧客とのコミュニケーションにおいてセキュリティが重要な理由

SaaS プロバイダーの顧客通信インフラストラクチャは、ユーザーに貴重な情報を送信し、ユーザーの関心を維持するために、名前、電子メール、電話番号などの個人を特定できる情報 (PII) にアクセスできる必要があります。悪意のある人物が個人情報を入手した場合、その情報を非常に効果的に使用できるため、ユーザーデータを保護する必要があります。顧客データの漏洩は、それが悪意のある人物によって意図的に引き起こされたものであれ、SaaS 企業自体によって偶発的に引き起こされたものであれ、関係者全員に壊滅的な結果をもたらす可能性があります。

政府は、企業が個人情報（PII）を取り扱う際にデータ漏洩が発生するリスクを認識しており、顧客データを保護するためのガイドラインを策定しています。たとえば、欧州連合では、一般データ保護規則 (GDPR) が 2018 年に施行されました。この規則では、ユーザー データを安全に管理するための具体的なガイドラインと、企業がそのガイドラインに従わなかった場合の罰則が規定されています。たとえば、カリフォルニア州は、企業が顧客の個人情報を収集および処理する方法を州民がさらに制御できるようにするために、2018 年にカリフォルニア州消費者プライバシー法 (CCPA) を制定しました。その厳格な規制は GDPR 規制に似ています。 2021年、バージニア州もこれに倣い、厳格なプライバシー法を制定し、消費者データ保護法（CDPA）を2023年に施行することを義務付けました。

SaaS プロバイダーは、自社のビジネスとユーザーのデータを保護するだけでなく、防ぐことができたはずの侵害による多額の罰金を回避するためにも、これまで以上に注意を払う必要があります。

通信関連のセキュリティ侵害はどの程度一般的ですか?

セキュリティ侵害の件数と範囲は年々増加しており、リモートワークへの移行以降は大幅に増加しています。アイデンティティ盗難リソースセンターによる2022年の調査によると、2021年のデータ侵害件数は2020年より68%増加し、これまでの最高値より23%増加しました。その成長は驚異的です。彼らの研究で興味深いのは、ハッカーが企業秘密や専門的なデータに重点​​を置くようになったため、被害者の数が実際に減少しているということだ。

2021 年 8 月、Microsoft Exchange の電子メール サーバーがセキュリティの脆弱性を利用してハッカーの攻撃を受けました。マイクロソフトが脆弱性を認識していた数か月間、脆弱性は修正されず、マイクロソフトの顧客も脆弱性の深刻度について適切に知らされていませんでした。さらに、過去数年間、Microsoft の Office 365 サービスでは、機密情報を悪意を持って入手することを目的としたスピアフィッシング攻撃が多数発生しています。

2022年3月18日、企業がマーケティングや営業を管理するために使用するCRMツールであるHubspotが、従業員のアカウントを通じてハッキングされました。業界メディアは3月、企業にアクセス管理用のクラウドコンピューティングソフトウェアを提供するOkta社が2か月前にハッキングを受けたと報じた。 Oktaは、顧客サポートを提供し、Oktaの内部情報へのアクセス権を持っていた契約会社が侵害の原因であると主張した。

通信セキュリティ問題を解決する最善の方法は何ですか?

ハッカーが攻撃手法を改良し続けるにつれて、クラウド コンピューティング アプリケーションのセキュリティの重要性がますます高まっており、Center for Internet Security の Control V8 ガイドなど、セキュリティのベスト プラクティスに関する推奨事項も策定されています。通知などの顧客とのコミュニケーションは、ハッカーが気づかないユーザーを悪用するための容易な侵入口となるため、厳格なセキュリティ対策が特に重要です。

セキュリティ サービス プロバイダーは、通知プロバイダーとして、セキュリティ対策に多大な労力を費やしています。一般的なセキュリティ制御のベスト プラクティスに関する主要な推奨事項を以下に紹介します。

（１）内部監査とプロセス

最初の推奨事項は、セキュリティ レビュー チェックリストの形式をとることができる社内レビューとプロセスを企業内に確立することです。内部レビューでは、パスワード作成と多要素認証、特権アクセス管理と一般的なアクセス制御、および新入社員のオンボーディング プロセスに関するポリシーをカバーする必要があります。具体的には、社内の従業員のアクセス権を監査し、アクセスを必要最低限​​に制限し、特権アカウントへの制限付きアクセスの承認ワークフローを設定します。最後に、従業員が多要素認証を使用し、強力なパスワードを作成するようにしてください。

セキュリティ レビュー チェックリストには、ネットワーク、デバイス、サードパーティ プロバイダーとのその他の接続などのインフラストラクチャの評価範囲も含める必要があります。組織が評価を実施する際には、問題や違反に対するインシデント対応計画を作成し、それを使用してインフラストラクチャの潜在的な脆弱性を検出します。これらのインシデント対応計画が最新の状態に保たれるように、定期的にテストするようにしてください。

これらの手順は、組織が実装しているプロセスの証拠として、組織のドキュメントに組み込む必要があります。明確な文書があれば、従業員が会社の安全プロトコルに従う可能性が高くなります。

企業は、上記の項目に関する文書と詳細なレビュー プロセスを開発する際に、一般向けにプライバシー ポリシーも定義する必要があります。侵害が発生する前に、組織がどのようなデータを収集して処理しているか、またそれがユーザーにとって何を意味するかを理解しておくと役立ちます。

（２）継続的な監視

2 番目の推奨事項は、インフラストラクチャを継続的に監視することです。監視を行わないと、組織がセキュリティ侵害に対応するには遅すぎる可能性があります。監視により、問題やアラートが発生した場合に開発チームが迅速に対応できるだけでなく、全体的なセキュリティ制御を改善する方法についての洞察も得られます。 SaaS アプリケーションは複数の異なるプロバイダーまたはコンポーネントを組み合わせているため、アプリケーションの全体的な健全性を視覚化できることが特に重要です。企業は、ユーザー アクセスと動作だけでなく、管理者のアクセスと動作も監視する必要があります。どちらも SaaS アプリケーションの脆弱性を示す可能性があるためです。現在、市場には多くのセキュリティ監視プロバイダーが存在します。たとえば、Datadog を使用してアプリケーションのコンポーネントを監視します。

（３）自動化

3 番目の提案は、ソフトウェアの自動化によって組織のセキュリティ プロセスを合理化できるということです。組織が特権アカウントまたは情報への一時的なアクセスを許可する必要がある場合、承認ワークフローを自動化して効率を向上させることができます。従業員が誤って機密情報を共有しないように、コラボレーション制御を自動化することもできます。組織が SOC2、ISO270001 などのデータ管理コンプライアンス標準や GDPR などの規制への準拠を実証したい場合は、Vanta や Drata などのサービス プロバイダーによる自動監視を選択することもできます。

（４）外部監査

セキュリティ管理を強化したい場合、4 番目の提案は、サードパーティのサービスにインフラストラクチャとプロセスの脆弱性を監査してもらうことです。企業はコンサルタントを雇うか、Probely や Tenable などのアプリケーション脆弱性スキャナーを使用することができます。コンプライアンス認証の取得を検討している場合、これらのセキュリティ監査は、ベストプラクティスに関するプロアクティブな洞察を提供することで、有利なスタートを切ることができます。

安全性を重視した開発

データ侵害が増加し、セキュリティ攻撃がより巧妙になるにつれて、最新のセキュリティ対策をアプリケーションや企業に統合することが絶対に必要になります。特に世界中で厳しい法律や規制が制定され、違反に対して厳しい罰則や罰金が課せられる中、より多くのセキュリティ管理を導入し、ビジネスの成長に注力します。

上で検討したように、データ侵害のリスクには、企業の評判のさらなる低下、経済的損失、ユーザーの個人情報の盗難などが含まれます。組織の顧客とのコミュニケーションは、サイバー攻撃者が悪用できる脆弱性の主な発生源の 1 つとなる可能性があり、SaaS プロバイダーは成長するにつれてセキュリティを最優先事項にする必要があります。