新しい SaaS セキュリティ レポートでは、2021 年の CISO の優先事項と計画について詳しく説明しています。

セキュリティ専門家は長年、SaaS セキュリティを強化する必要性を認識してきました。しかし、2020 年に Software-as-a-Service アプリケーションが急速に導入されたことで、状況は大きく変化しました。

組織は 35 から 100 に及ぶ複数のアプリケーションを管理しています。Slack や Microsoft Teams などのコラボレーション ツールから、SAP や Salesforce などのミッション クリティカルなアプリケーションまで、SaaS アプリケーションは現代の企業の基盤として機能します。 2020 年には、SaaS の誤った構成によるリスクを軽減できるセキュリティ ソリューションが緊急に必要とされています。

Gartner は、SaaS セキュリティの重要性を認識し、SaaS アプリケーションの展開から生じるセキュリティ リスクを継続的に評価できるソリューションを区別するために、新しいカテゴリとして SaaS セキュリティ ポスチャ管理 (SSPM) と名付けました。

セキュリティ チームが現在 SaaS セキュリティ体制をどのように管理しているか、また主な懸念事項は何かを把握するために、主要な SSPM ソリューションである Adaptive Shield は、北米と西ヨーロッパの 500 人から 10,000 人を超える従業員数にわたる 300 人の情報セキュリティ専門家を対象にした独自の調査を委託しました。

2021 年の SaaS セキュリティ調査レポートの結果では、一般的な SaaS アプリケーションのセキュリティ問題が示され、組織がさまざまな SaaS セキュリティ構成を管理する際にベスト プラクティス以外の方法を採用していることが明らかになりました。

SaaS セキュリティ管理の状況を理解する

SaaS アプリケーションは、幅広いネイティブ セキュリティ制御を提供する、使いやすくスケーラブルなソリューションを提供します。ただし、すべての設定、ユーザー権限、コンプライアンスの構成は、最終的にはセキュリティ専門家によって管理されます。

SaaS の設定ミスに関する懸念

2021 年の SaaS セキュリティ調査レポートでは、回答者の 85% が、SaaS の誤った構成を組織が直面する上位 3 つのリスクの 1 つとして挙げています。興味深いことに、リストの上位にある他のセキュリティ リスク (アカウントの乗っ取りやデータ侵害など) も、リストにある他の多くのリスクと同様に、SaaS の構成エラーから直接発生する可能性があります。たとえば、Jira の誤った構成により、多数の Fortune 500 企業でデータ侵害が発生し、電子メール アドレスや ID、従業員の役割、現在のプロジェクトやマイルストーンなどが漏洩する可能性があります。

アプリが増えると監視が減る

最初は直感に反するように思えるかもしれませんが、よく考えてみると、「アプリケーションが増えると監視が減る」というのは、監視プロセスを手動で処理する組織ではよくあることです。調査の回答者によると、組織がさらに多くのアプリケーションを導入し続けると、アプリケーションの監視の成功率が低下するとのことです。実際、回答者によると、50 ～ 99 個のアプリケーションを使用している企業のうち、毎週誤った構成のチェックを実行しているのはわずか 12% です。

各アプリケーションには独自の設計、設定、ユーザー ロール、固有の権限があり、従業員の継続的な移動、自動ソフトウェア更新、部門間の複雑な要件を伴う動的な環境では、組織はインストールするアプリケーションの数が増えるほど、制御を失うリスクがあります。

委任されたセキュリティ影響リスク

SaaS アプリケーション ポートフォリオの範囲が拡大し続ける中、回答者の 52% は、SaaS セキュリティを定期的に確認して維持する責任は SaaS 所有者に課せられていると回答しています。責任者は通常、販売、マーケティング、製品などの分野にいます。残念ながら、これらの関係者はセキュリティに関する知識やスキルをほとんど、あるいはまったく持っていないことがよくあります。

SSPMは2021年の最優先事項です

SSPM の主な機能により、安全なクラウド構成が可能になります。

• コンプライアンス評価
• 運用監視
• リスクの特定
• 政策の実施
• 脅威評価

CSPM および CASB ツールは SaaS 環境の課題に対処するために構築されていないため、SSPM は企業の課題のトップに上がり、2021 年の優先リストのトップに位置しています。回答者の 48% が SSPM ツールを優先順位リストの 1 位に挙げました。

セキュリティ チームは、SaaS アプリケーションのセキュリティ体制を包括的かつ継続的に可視化することを望んでおり、SSPM ソリューションはこれらの機能を提供します。

Adaptive Shield による SaaS セキュリティの自動化

セキュリティ設定と制御の自動メンテナンスにより、セキュリティ チームは SaaS アプリケーションを制御できるようになります。

SaaS セキュリティ ポスチャ管理 (SSPM) は、Adaptive Shield と同様に、セキュリティ チームが相互接続されたさまざまな SaaS アプリケーション環境全体で継続的なセキュリティを積極的に維持できるように独自に設計された強力なプラットフォームを提供します。

SaaS アプリケーションのセキュリティを適応的に管理するということは、ビデオ会議プラットフォームや顧客サポート ツールから HR 管理システム、ダッシュボード、ワークスペースなど、SaaS アプリケーションの世界全体にわたって完全な可視性と脅威を実現することを意味します。アダプティブシールド:

• 組み込みのセキュリティ設定/コントロールを活用して、すべての脆弱性を検出し、それらをプロアクティブかつ自動的に修復します。
• グローバル設定とユーザー権限を継続的に監視し、違反や逸脱がないか確認します。
• SaaS アプリケーション統合の包括的なライブラリを提供し、毎週さらに多くの SaaS アプリケーションが追加されます。
• SaaS セキュリティの問題を最初から最後まで迅速に修復します。
• 組織の SaaS セキュリティ体制の健全性を 1 か所に表示し、データに基づいた意思決定を可能にします。
• 業務を中断することなく数分で導入可能

Adaptive Shield を使用して監視と適用を自動化することで、セキュリティ チームはアプリケーション所有者に責任を委任する必要がなくなり、SaaS セキュリティ設定の管理を可視化する必要がなくなります。

この記事は、https://thehackernews.com/2021/07/new-saas-security-report-dives-into.html から翻訳されたものです。