SaaS ガバナンス計画が必要な理由と、その計画に何を含めるべきか

現在、SaaS の採用は IaaS をはるかに上回っています。それにもかかわらず、多くの企業はインフラストラクチャのセキュリティのみに重点を置いています。また、SaaS ガバナンス計画を検討し、SaaS の使用に関連するリスクを軽減するためのセキュリティ対策を実装する必要があります。このプログラムには、コンプライアンス フレームワーク、文書化/デューデリジェンス、継続的な監視とリスク軽減のための技術的対策が含まれます。

[[420302]]

クラウド導入に関するセキュリティに関する議論の多くは、AWS、Microsoft Azure、Google Cloud などの IaaS および PaaS プロバイダーに焦点を当てていますが、それには十分な理由があります。多くの企業では IaaS の導入が飛躍的に増加しており、IaaS の誤った構成に関連するセキュリティ侵害インシデントが多数発生しています。

しかし、SaaS の実装とセキュリティが不十分なために生じるリスクは見過ごされがちです。調査会社ガートナーによれば、SaaSは今後も最大のパブリッククラウドセグメントであり続けると予測されており、これはCOVID-19パンデミック以前になされた予測であり、前例のないSaaSブームが到来したことを示しています。さらに、企業は通常、3 大クラウド サービス プロバイダー (CSP) などの少数の IaaS プロバイダーの製品のみを使用し、SaaS 製品もより多く使用する傾向があります。 Blissfully による 2020 年の調査では、大企業は 288 種類もの SaaS アプリケーションを使用しており、中小企業 (SMB) は 100 種類を超えるアプリケーションを使用していることがわかりました。

一部の企業は IaaS セキュリティの完璧化に取り組み始めているかもしれませんが、より広範で多様な SaaS 環境では同様のことが当てはまらない可能性があります。この現実により、市場には多数の SaaS 製品が存在し、多くの場合は料金を支払うだけで簡単に使用できるため、シャドー IT の使用は IaaS プロバイダーよりも SaaS プロバイダーの間で広まっています。

Zylo が実施した調査によると、企業は毎月平均 10 個の SaaS 製品を追加していますが、IT チームが直接管理しているのはそのうちの 25% のみです。つまり、管理されていない SaaS 製品には多くのリスクが伴います。 SaaS の使用が急増しているにもかかわらず、AppOmni の調査によると、SaaS でのデータ セキュリティを確保するためのツールを使用している回答者はわずか 32% でした。

SaaS が広く採用されているにもかかわらず、企業が依然として IaaS のセキュリティ問題にほぼ専念しているのはなぜでしょうか?その理由の一部は、共有責任モデルを誤解し、SaaS 環境ではクラウド プロバイダーがすべての責任を負っていると想定していることにあります。もう 1 つの理由は、セキュリティ チームが、企業のクラウドの使用状況と、広範囲にわたる大規模な IaaS データ侵害の影響に対応するのに苦労していることです。

主要な IaaS ベンダーは明確な認定と学習パスを提供しており、専門家がプラットフォームのセキュリティを確保し、それを証明する方法を学習できるようにしています。 SaaS プロバイダーは同じサービスを提供しません。セキュリティ専門家として、私たちは SaaS 製品のセキュリティが成熟し、対処されていないリスクを軽減できるようになるまで進化し続けなければなりません。

SaaSリスクを管理する方法

SaaS 使用のためのセキュリティの実装はデータ主導で行う必要があります。これは、SaaS 製品がアクセスできる内部データ、企業内のアクセス レベル、およびそのデータが誤って公開されたり悪意を持って漏洩したりした場合に発生する可能性のあるセキュリティおよび規制上の影響を検討することを意味します。これは、自宅からリモートで作業する従業員にとって特に当てはまります。従業員は自分のデバイスを使用してどこからでもデータにアクセスできるからです。

プロセスの最初のステップは、従業員が使用している SaaS を取得することです。組織の成熟度とテクノロジー アーキテクチャに応じて、手動で実装されたインベントリ管理プロセスになる場合もあれば、シャドー SaaS の使用を識別するのに役立つクラウド アクセス セキュリティ ブローカー (CASB) などのテクノロジー ツールが必要になる場合もあります。

企業が SaaS の使用に関する厳格なセキュリティ レビューを開始する場合、2 つのアプローチを取る傾向があります。1 つは、SOC2、PCI、FedRAMP などのセキュリティ フレームワークとドキュメントのレビューに重点を置いたものです。もう 1 つは、テクノロジの評価、強化、継続的な監視に重点を置いています。

フレームワーク、ドキュメント、レポート

企業が自社のビジネス向けの SaaS 製品の審査を開始する場合 (できれば購入と実装の前に)、SOC2、CSACCM、STAR/CAIQ、FedRAMP などの一般的なフレームワークを検討することがよくあります。

SOC2 は、セキュリティ、可用性、機密性、整合性、プライバシーに関連する企業の内部統制の検証に役立つため、SaaS プロバイダーにとって主要な選択肢になりつつあります。もう 1 つの主要なオプションは、Cloud Security Alliance (CSA) Consensus Assessment Initiative Questionnaire (CAIQ) です。これは、XaaS 製品に存在する制御を文書化し、クラウド固有のセキュリティ制御フレームワークである CSA の Cloud Controls Matrix (CCM) に結び付けます。公共部門では、米国連邦リスクおよび認可管理プログラム (FedRAMP) が、政府によるクラウド コンピューティング サービス オファリング (CSO) を認可する方法として広く使用されており、NIST 800-53 セキュリティ制御を使用しています。

企業は通常これを実行し、これらの認証を要求する必要があります。これは、これらの認証には、第三者が SaaS 組織とその製品が特定のレベルのセキュリティ要件を満たしていることを検証する第三者評価組織 (3PAO) プロセスが含まれることが多いためです。これにより、SaaS サービスが完全に安全でないわけではなく、企業が自社のインフラストラクチャと顧客データの処理および保存方法に関する基本的なセキュリティ対策を実施していることが企業に一定レベルで保証されます。

どのフレームワークを使用するかの選択は、企業が活動する業界と SaaS ベンダーの成熟度によって大きく異なります。これらのフレームワークは時間とリソースを大量に消費する可能性があるため、スタートアップの SaaS ベンダーは通常、フレームワークが確立され、顧客がそれを要求するまで認証を求めません。また、市場で提供される SaaS の数が急増しているため、FedRAMP などの主要なコンプライアンス プログラムが追いついていないという現実もあります。

SaaS ベンダーが認定または監査を受けていない場合、または受けていたとしても、ベンダーに使用するデータが非常に機密性の高いものである場合は、ベンダーのドキュメントやその他の標準を詳しく調べて、その適用性を確認することをお勧めします。これには、内部または外部の侵入テストの結果や、アーキテクチャ、認証、暗号化などに関する議論が含まれる場合があります。これらの追加アクティビティは、特定の SaaS 製品の使用に伴うリスクに関連するレベルの保証を企業に提供するのに役立ちます。

SaaS の対象範囲/機能

フレームワークは SaaS 製品のレビューに最適なスタートですが、それは単なる始まりに過ぎません。企業は、SaaS ガバナンス戦略の一環として、技術的な制御、構成、監視も考慮する必要があります。各 SaaS 製品には、セキュリティの観点から企業の従業員が理解していない独自の機能、構成、設定が多数あります。

企業の SaaS アプリケーションのセキュリティ体制を監視する SaaS セキュリティ体制管理 (SSPM) ツールを導入します。 AppOmni と Obsidian は最も人気のある SSPM ツールの一部です。 Box、GitHub、Salesforce、Slack などの主要な SaaS 製品を提供するベンダーも存在します。

セキュリティ構成、セキュリティ スキャン、ベスト プラクティス、推奨事項を作成し、企業の SaaS 利用強化を支援します。これらの製品の多くは、Microsoft 365 や Google Workspace などの SaaS 製品の CIS ベンチマークなど、機密データが含まれている可能性のある業界のリソースを可能な限り活用しています。

これらの強化の取り組みは、アカウントの侵害、安全でない構成、コンプライアンス、アクセス管理などの一般的なセキュリティ問題から企業を保護するのに役立ちます。インシデント対応にも役立ちます。組織のスタッフは SaaS アプリケーションの導入に必要な特定のセキュリティに関する洞察と専門知識を持っていない可能性があるため、これは貴重です。 SSPM ベンダーは、継続的に SaaS 製品をカバー範囲に追加しており、企業の規模に応じて、企業で広く使用されている SaaS をカバーする製品ロードマップの作成を支援できます。

企業は、技術的なセキュリティ問題に加えて、SaaS パラダイム内の規制コンプライアンスにも重点を置く必要があります。ここでも共有責任モデルが適用されます。

AppOmni のようなプラットフォームは、PCI、HIPAA、GDPR、NIST などの広く適用可能なフレームワークに関連する主要なコンプライアンス制御を自動化するのに役立ちます。企業が、数百に及ぶ可能性のある SaaS アプリケーション全体でこれらのフレームワークへの継続的なコンプライアンスを維持することは不可能であり、ここで、これらの取り組みを強化するテクノロジー ソリューションが真に役に立ちます。