SaaS の長所と短所: 可視性が SaaS セキュリティの鍵

クラウドの利点は、弾力性、使いやすさ、そしてコスト効率の向上です。 SaaS (Software as a Service) は未来であり、このサブスクリプションベースのオンライン サービスにより、ユーザーはアプリケーションの管理、更新、保護に必要な時間、労力、リソースを節約できます。しかし、SaaS にはセキュリティ リスクという明らかな欠点があります。

実際、クラウドベースのサービスは現在、マルウェアの最も一般的な配信方法となっています。 SASE ベンダーの Netskope の統計によると、ハッカーや脆弱性攻撃の約 70% はクラウド サービスからダウンロードされており、クラウド アプリケーションの 97% はセキュリティ チームの許可なしに、あるいはセキュリティ チームの知らないうちに使用されています。

SaaS アプリケーションのセキュリティを評価する方法

まず、企業は自社が利用するオンライン サービスの可視性を考慮する必要があります。上記の 97% という統計は大げさなものではありません。多くの企業では、非常に多くの SaaS アプリケーションを使用しているため、セキュリティ チームがそれらを追跡することが困難になり、最終的にはセキュリティ インシデントが発生します。驚くべき統計もあります (https://track.g2.com/resources/shadow-it-statistics)。 SaaS アプリケーションに対する可視性が不足しているため、英国と米国の組織だけでも、未使用の SaaS と異なるアカウントの重複した SaaS に対して毎年 340 億ドルもの追加のサブスクリプション料金を支払っています。

オンライン サービス自体のセキュリティは非常に一般的かつ重要な問題です。セキュリティ チームは、ログイン情報に適切な暗号化が使用されているかどうかを検討し、オンライン サービスが過去にハッキングされたことがあるかどうか、また、ハッキングされた場合はプロバイダーがどのような対策を講じたかを確認する必要があります。こうした作業をすべて完了した後でも、オンライン サービスの安全性は、ユーザーがそれをどのように使用するかによって決まることに注意することが重要です。たとえば、従業員が SaaS サービスやネットワークにログインするときに異なる資格情報を使用し、アカウントや資格情報が従業員間で共有されないようにします。従業員が退職した後は、速やかにアカウントを取り消す必要があります。

考慮する必要がある SaaS セキュリティのもう 1 つの側面は、さまざまな SaaS アプリケーション間の相互作用、つまり、アプリケーションとサービスが相互に通知を送信する機能を含む SaaS の接続性です。よく考えてみると、これは実はデータプライバシーの潜在的な脆弱性です。組織は、従業員が複数のアプリやアドオンをどのように使用しているか、また統合や通知にはどのような権限が必要かを理解していますか?

SaaS の使用は、ネットワーク全体のセキュリティにも影響を与える可能性があります。たとえば、一部のアプリケーション サービスでは、ユーザーのデバイスにコードや Cookie をインストールすることがよくあります。ここで考慮すべきことは、コードに IT システムの最適な運用を妨げる可能性のあるコンテンツが含まれているかどうかです。このサービスはユーザーのアクティビティに関するデータを第三者と共有しますか? また、その第三者は安全ですか?サービスは、その活動において組織のリソースに潜在的に損害を与える可能性がありますか (意図的か意図的でないかにかかわらず)?

結論は

企業における SaaS アプリケーションの問題は至る所にあり、すべての答えを見つけることは困難ですが、問題を解決する前に、企業は問題を無視するのではなく、少なくとも問題を認識する必要があります。このセキュリティ意識は、適切なセキュリティ戦略を策定し、企業のニーズに最適なセキュリティ ソリューションにセキュリティ予算を投資するのに役立ちます。

SaaS やその他のクラウドベースのサービスにより、企業は毎年多額のコストを節約できます。クラウドはコストだけでなく、柔軟性の向上、効率性の向上、データの有効活用、顧客へのサービスの向上も実現します。しかし、これらすべては安全性を犠牲にする可能性があります。組織内の SaaS アクティビティの可視性を高めることで、セキュリティ チームはリスクを回避しながらこれらのサービスを十分に活用できるようになります。