SaaS サービス プロバイダーのセキュリティを評価する 10 のポイント

ますます多くの企業にとって、SaaS (Software as a Service) は重要なビジネス アプリケーションにアクセスするための主な手段となっています。ビジネスの観点から見ると、「クラウドへの移行」のメリットには、コスト削減、俊敏性の向上、スケーラビリティの容易化などがあります。

ただし、クラウドベースの製品にはセキュリティ上のリスクが伴います。企業は、SaaS プロバイダーのセキュリティが自社のニーズと基準を満たしているかどうかをどのように判断できるでしょうか?

「課題は、SaaSベンダーが自社のインフラストラクチャ、変更管理、インシデント対応プロセスをどのように保護しているかを理解することだ」とガートナーの副社長兼アナリスト、パトリック・ヘベシ氏は述べた。

[[330292]]

2019 年の Gartner レポートによると、すべての SaaS プロバイダーがセキュリティに関して透明性を確保しているわけではありません。報告書では、企業は2つのリスクを十分に認識する必要があると述べている。1つは重要なユーザーデータをクラウドサービスに置くことのリスクであり、もう1つはクラウドサービスプロバイダーを完全に信頼することのリスクである。

他のビジネスと同様に、SaaS プロバイダーも多くのマルウェアやハッカーの攻撃の影響を受けやすく、クラウド サービスが攻撃を受けると、その影響は他のクラウド サービス ユーザーにも広がることがよくあります。そのため、クラウド サービスの利用を計画している企業は、ビジネス リスクを軽減するために、クラウド サービス プロバイダーに対して必要なセキュリティ評価を実施することをお勧めします。以下は、SaaS ベンダーを評価するためのサイバーセキュリティ専門家からの 10 の提案です。

1. SaaSの脆弱性管理/パッチ適用戦略を見直す

経営者が頻繁に注目する問題の 1 つは、セキュリティ パッチです。 「通常、SaaS プロバイダーは、特にマルチテナント サービスに対してパッチを適用します」と、Asurion のセキュリティ担当シニア マネージャーである Bernie Pinto 氏は述べています。クラウド サービス プロバイダーの脆弱性管理の効率、成熟度モデル、ツール、実装対策、脅威インテリジェンスや UEBA などの他のセキュリティ ツールやプロセスとの統合はすべて、クラウド サービス プロバイダーの脆弱性管理レベルを反映します。企業はバランスト スコアカードを使用して、クラウド サービス プロバイダーの脆弱性管理サービスを評価することもできます。 （参考：「2020年 効率的な脆弱性管理の現状と動向レポート」）

2. SaaSと内部セキュリティ管理の一貫性を確認する

通信機器メーカー、シーメンスUSAの最高サイバーセキュリティ責任者であるカート・ジョン氏は、SaaSプロバイダーを評価する際に企業が理解する必要がある主な概念は、セキュリティ管理の責任の移行であると述べた。 SaaS 製品を使用する場合、セキュリティ チームは組織のセキュリティ環境と SaaS プロバイダーのセキュリティ環境間のインターフェイスに重点を置く必要があります。 「プロバイダーのセキュリティ機能が自社の情報セキュリティ戦略とどのように一致しているかを確認する必要があるでしょう」と彼は言います。 「ギャップがあれば、プロセスの早い段階で対処する必要があります。」ジョンは「コントロールの調整」には 3 つの重要な領域があると考えています。

• アイデンティティおよびアクセス管理 (IAM): 問題には、既存のエンタープライズ IAM プラットフォームを SaaS プロバイダーの提供と統合できないことなどが含まれます。認証ポリシーが矛盾し、ユーザビリティの観点から混乱や技術的な問題が生じる可能性があります。 SaaS プロバイダーによるシングル サインオン (SSO) のサポートが不足しています。
• 暗号化とキー管理: ここでの問題には、SaaS プロバイダーが暗号化の制御を維持することにこだわり、顧客の情報に容易にアクセスできるようにし、企業のセキュリティの外でデータを保存し、適切な暗号化管理への依存度を高めることが含まれます。
• セキュリティ監視: ここでの問題には、SaaS 環境内からセキュリティ イベント ログ データにアクセスできないことがあり、潜在的なセキュリティ リスクの透明性が低下します。 「克服すべき課題の 1 つは、サービス プロバイダーがログを操作できないようにすることです」とジョンは述べています。 「望ましい選択肢は、SaaS プロバイダーとの適切なデジタル接続を確立し、ログ データを既存のセキュリティ オペレーション センターにリアルタイムで取り込むことです」とジョンは述べています。 「これにより、全体的な可視性が向上し、オンプレミスのセキュリティ運用機能をクラウドに拡張できるようになります。」

3. データの所有権を確認する

企業は、個人情報が共有されないように、プロバイダーのプライバシー ポリシーや利用規約にも細心の注意を払う必要があります。 「これは当たり前のことのように聞こえるが、実際には見落とされがちだ」と​​、ITコンサルティング会社アセント・ソリューションズのサイバーセキュリティ戦略家ケイン・マクグラドリー氏は言う。

SaaS ベンダーがユーザーのビジネス データを販売しないと約束しなかったり、クラウド サービスの使用方法に関するデータを「市場調査」の名目で販売したりする場合は、それは危険信号だと McGladrey 氏は言います。クラウド サービス契約に明示的に記載されていない場合は、プロバイダーがデータを再販しないことを必ず確認してください。

4. SaaSプロバイダーのコンプライアンスを確保する

マックグラドリー氏は、もうひとつの懸念として、プライバシーポリシーが一般データ保護規則（GDPR）やカリフォルニア州消費者プライバシー法（CCPA）などの特定の規制への準拠を明記していない場合、その声明は準拠していないことになると指摘した。 「必要なコンプライアンスが欠如していることは、SaaSプロバイダーが法律や規制のペースに追いついていないことを示している可能性がある」と彼は述べた。

「SaaSベンダーはデータ主権とオプションのローカリゼーションをリードするべきだ」とマクグラドリー氏は付け加えた。 「これは、SaaS ソリューションを選択する多国籍企業にとって特に重要ですが、単一の地理的な場所にある組織も同様のコンプライアンスの問題に直面する可能性があります。」

5. データがどこに保存されているかを知る

マーケティング技術プロバイダーのEpsilon社のCIO、ロバート・ウォルデン氏は、「セキュリティ、コンプライアンス、プライバシーの観点から、すべてはデータにかかっている」と語った。 「SaaS ソリューションを介してどのようなデータが保存または送信されるのか、誰がデータにアクセスできるのか、誰がデータを所有するのか、データはどのように保護されるのか、セキュリティ侵害が発生した場合に誰が責任を負うのかなどを理解することが重要です」と Walden 氏は述べています。

「多くの企業は、SaaS ソリューションにうっかり保存している機密データの種類や、その機密データにアクセスできるのが誰なのかさえ認識していません」と Walden 氏は述べています。 「さらに、多くの企業は、SaaS ソリューションのセットアップ中に標準的なクリックスルー契約が実行されると、プロバイダーがデータの所有権を取得することが多いことを理解していません。」

6. データの損失や破損をチェックするための規定

データ保護の観点から見ると、SaaS 契約には災害復旧条項が含まれている可能性があるものの、これらの条項ではデータの損失や破損はカバーされないことが多いことに多くの企業が気づいていません。

7. セキュリティチームはSaaS購入プロセスに関与する必要がある

ピント氏は、調達プロセス中はセキュリティおよびリスクチームのメンバーは常に調達チームと連絡を取る必要があると述べた。 「調達チームはセキュリティ チームと連携し、プロセスにおけるリスクを定量化する必要があります。ほとんどの調達チームはまだ、アイデンティティとアクセス管理が専門分野であることを認識していません。」

ジョン氏は、データ セキュリティに関連する技術的および非技術的な問題がカバーされるように、情報セキュリティ チームがすべての重要な議論に出席する必要があると述べています。 「当社にとって、クラウド サービス プロバイダーがネットワーク セキュリティの問題をタイムリーに解決できない場合は、候補リストから消えます。」

8. SaaSプロバイダーが使用するサブサービスを特定する

SaaS プロバイダーが使用する可能性のあるサブサービスについても議論する必要があるトピックです。 「これらの問題は契約書に署名する前に解決する必要がある」とジョン氏は語った。 「これにより、データの保存場所に関する組織の要件が影響を受ける可能性があります。」

SaaS のセキュリティ レポートを評価する際には、「レポートの範囲に契約内の場所とサブサービスが含まれていることを確認することが重要です」とジョン氏は述べています。 「監査結果が十分な範囲と信頼性を持っていることを確認するために、契約と該当するセキュリティレポートを相互にチェックする必要があります。」

議論では、SaaS プロバイダーのコンプライアンス確保へのアプローチについても取り上げる必要があります。 「この問題に対処するには、コンプライアンスを確保するために、検出、データプライバシー、インシデント対応レポートなどのクラウドプロバイダーのセキュリティサービスと機能、および関連するアクティビティを理解することが重要です」とジョンは述べています。

9. SaaSの無料トライアルを徹底的にテストする

無料の SaaS 試用期間中に、容量テストやピーク ストレス テストを含む包括的な IT およびセキュリティ テストを実施する必要があります。 「複数の管理者とスーパーユーザーが同時にツールを使用し、同じウィンドウ内でパフォーマンスを評価する必要があります」とピント氏は語った。

さらに、同時実行およびマルチプロセス アクティビティもテストする必要があります。 「計算や情報の移動、レポートの作成などでクラウド サービスが高負荷状態にあるとき、そのサービスがどれだけ速く応答するかに注意する必要がある」とピント氏は言う。

内部テストの一環として、「主要なセキュリティ プロセスが SaaS プロバイダーのソリューションと統合できるかどうかも評価する必要があります」とジョンは述べています。 「これにより、ソリューションの実装後にセキュリティに投資する必要があるリソースとコストを決定するのに役立ちます。」

10. SaaSプロバイダーのサードパーティセキュリティ監査レポートを確認する

ジョン氏は、重要なステップは、侵入テストの結果を含むクラウド サービス プロバイダーの最新のサードパーティ監査レポートを確認し、セキュリティ制御の適用性と有効性を確認することだと述べました。 「国内または国際的に認められた認証を要求することは、クラウド プロバイダーのエンタープライズ レベルのセキュリティ制御の成熟度を判断するのにも役立ちます。」

[この記事は51CTOコラムニスト「Anquan Niu」によるオリジナル記事です。転載する場合は、Anquan Niu（WeChatパブリックアカウントID：gooann-sectv）を通じて許可を得てください。

この著者の他の記事を読むにはここをクリックしてください