調査によると、テストされたServiceNowインスタンスの約70％がデータを漏洩していることが判明

SaaS セキュリティ プロバイダーの AppOmni は、誤った構成は、顧客が管理する構成とゲスト ユーザーへの権限の過剰プロビジョニングの組み合わせによって発生すると主張しています。 ServiceNow には 25,000 社を超える顧客がおり、そのほとんどは従業員数が 50 ～ 200 人で、年間収益が 100 万ドル ～ 1,000 万ドルです。

AppOmni はプレスリリースで、高度な SaaS 機能、柔軟性、拡張性に必然的に伴う複雑さのため、こうしたタイプの構成ミスは主要な SaaS プラットフォームでよく見られるものだと説明しました。

「この種の問題は、決してServiceNowに限ったことではない」とAppOmniのCEO、ブレンダン・オコナー氏は語った。 「複数の SaaS プラットフォームで大規模なデータ侵害が発生しています。過去数週間で、複数の SaaS アプリケーションに対するサイバー攻撃が増加しています。」

SaaSアプリケーションのセキュリティは十分に検証されていない

AppOmni は、SaaS プラットフォームの初期実装フェーズで、ユーザーまたは設定が変更されたとき、または現在の構成に影響を及ぼす可能性のある定期的な SaaS 更新の一環として、誤った構成が発生する可能性があると説明しています。同社は、ServiceNow インスタンスにこの誤った構成があるかどうかを識別する無料の Web アプリケーション SaaS セキュリティ アナライザーを開発しました。

オコナー氏は、AppOmni は ServiceNow と協力してこの問題に取り組んでいると述べた。しかし、彼は次のように付け加えた。「ServiceNow の顧客は、これを自分で手動で確認することを強くお勧めします。一般的に、SaaS アプリケーションは必要なセキュリティ レビューを受けていません。ほとんどの顧客は、クラウド プロバイダーがすべてを処理してくれると考えています。彼らは、共有責任モデルと、データの保護および SaaS の適切な構成と使用に関する義務を理解していません。」

急進的なデジタル変革はセキュリティ問題につながる

オコナー氏は、SaaS の誤った構成を過去の AWS S3 ストレージの問題と比較しました。 「これはクラウド コンピューティング プロバイダーのソフトウェアの欠陥ではありません。これは、顧客が SaaS プラットフォームの内部データを不注意で外部に公開してしまうというよくあるパターンです。私たちが公開した調査レポートによると、分析したケースの最大 70% で、このデータ漏洩は認証やパスワード、または誰かのコンピューターへのハッキングなしで発見されました。」

オコナー氏は、過去2年間の急激なデジタル変革が多くの企業にセキュリティ上の問題を引き起こしていると付け加えた。同氏は、「COVID-19のパンデミックにより、クラウドコンピューティング技術の導入を余儀なくされる企業がますます増えています。クラウドコンピューティング技術は安全ですが、多くの企業は急いでビジネスをクラウドプラットフォームに移行する中で、セキュリティ上の問題を見落としています。企業はクラウドへの移行時に、アーキテクチャのセキュリティを適切なレベルで検討する時間がないのではないかと思います」と述べました。