SaaS プロバイダーのセキュリティを確認するための 10 のプラン

ますます多くの企業にとって、SaaS は重要なビジネス アプリケーションにアクセスするための主要な手段になっています。ビジネスの観点から見ると、この戦略は、コスト削減、俊敏性の向上、スケーラビリティの容易化など、いくつかの潜在的な利点があるため理にかなっています。

ただし、クラウドベースの製品にはセキュリティ上のリスクが伴います。組織は、SaaS プロバイダーのセキュリティ対策が自社の基準を満たしているかどうかをどのように判断できるでしょうか?

[[330122]]

「課題は、SaaSベンダーが自社のインフラ、変更管理手順、インシデント対応プロセスを保護するために何を行っているかを理解することだ」と調査会社ガートナーの副社長兼アナリスト、パトリック・ヘベシ氏は語る。

2019 年のガートナーのレポートによると、すべての SaaS プロバイダーがセキュリティに関して透明性を確保しているわけではありません。報告書では、企業は重要なユーザーデータをクラウドサービスに置くことのリスクと、クラウドサービスプロバイダーに持つべき信頼を理解する必要があると述べている。

SaaS プロバイダーも、他の組織を悩ませているのと同じマルウェアやハッキング攻撃の多くに対して脆弱です。これらの脅威は、これらのサービスを利用する企業に影響を及ぼす可能性があります。 SaaS プロバイダーの評価プロセスを次の領域に集中させることで、直面する可能性のあるリスクを最小限に抑えることができます。

1. SaaSパッチポリシーを確認する

経営陣が懸念している問題の 1 つは、セキュリティ パッチです。 「通常、SaaS プロバイダーはパッチ適用の面で遅れをとることが多い。特に、マルチテナントであり、組織が多くのニッチなサービス顧客の 1 つである場合はなおさらだ」と、Asurion のシニア セキュリティ マネージャーである Bernie Pinto 氏は言う。 Asurionはスマートフォンやタブレットなどの製品に対する保険を提供する会社です。

2. SaaSと内部セキュリティ管理の一貫性を確認する

通信機器メーカー、シーメンスUSAの最高サイバーセキュリティ責任者であるカート・ジョン氏は、企業がSaaSプロバイダーを評価する際に理解する必要がある主な概念は、セキュリティ管理の責任の移行であると述べた。 SaaS 製品を使用する場合、セキュリティ チームは組織のセキュリティ環境と SaaS プロバイダーのセキュリティ環境間のインターフェイスに重点を置く必要があります。 「ベンダーのセキュリティ機能が自社の情報セキュリティポリシーとどのように一致するかをしっかりと把握しておく必要があります」と彼は言う。 「ギャップがあれば、プロセスの早い段階で対処する必要があります。」

ジョンが非常に重要だと考えている主な領域は 3 つあります。

• アイデンティティおよびアクセス管理 (IAM): 既存のエンタープライズ IAM プラットフォームを SaaS プロバイダーの製品と統合できないという問題が発生する可能性があります。認証ポリシーが矛盾し、ユーザビリティの観点から混乱や技術的な問題を引き起こす可能性があります。 SaaS プロバイダーによるシングル サインオン (SSO) のサポートが不足しています。
• 暗号化とキー管理: SaaS プロバイダーは暗号化の制御を要求し、顧客情報への容易なアクセスを許可し、企業のセキュリティの外部にデータを保存することで、適切な暗号化管理への依存度を高めています。
• セキュリティ監視: ここでの懸念事項としては、SaaS 環境内からセキュリティ イベント ログ データにアクセスできないことなどが挙げられ、これにより潜在的なセキュリティ リスクの透明性が制限されます。 「克服する必要があった課題の 1 つは、ログが操作されないようにすることだった」とジョンは語った。 「最善の選択肢は、SaaS プロバイダーとの十分なデジタル接続を確立し、ログ データを既存のセキュリティ オペレーション センターにリアルタイムでストリーミングすることです」とジョンは述べています。 「これにより、全体的な視点が向上し、オンプレミスのセキュリティ運用機能をクラウドに拡張できるようになります。」

3. データの所有権を確認する

企業は、ベンダーが個人情報を共有しないことを約束しているプラ​​イバシー ポリシーや利用規約にも細心の注意を払う必要があります。 「これは有望に思えるが、同時に、明らかな欠落でもある」と、ITコンサルティング会社アセント・ソリューションズのサイバーセキュリティ戦略家ケイン氏は語った。

マックグラッドリー氏は、ベンダーが「あなたのビジネスデータを販売しないと明言していない、またはあなたの組織による「市場調査」または同様の目的でのサービス利用に関する匿名の集計データを販売している」場合、それは危険信号だと述べている。明記されていない場合は、プロバイダーがデータを再販しないことを確認してください。

4. SaaSプロバイダーが関連規制に準拠していることを確認する

マクグラドリー氏は、プライバシー ポリシーに、一般データ保護規則 (GDPR) やカリフォルニア州消費者プライバシー法 (CCPA) などの特定の規制への準拠に関する記述が含まれていない場合も懸念される、と述べた。 「これらは十分に確立されているが、これを怠ると、SaaSプロバイダーが法律や規制の動向に追いついていない兆候となる可能性がある」と彼は述べた。

「SaaSベンダーは、データ主権とオプションのローカリゼーションに関して常に先手を打つ必要がある」とマクグラドリー氏は付け加えた。 「これは、SaaS ソリューションを選択する多国籍企業にとって特に重要ですが、単一の地理的地域に限定されている企業も、アメリカ人の個人情報が外国のデータセンターで故意に処理され、保存されるという恥ずかしい状況を避けたいと考えるかもしれません。」

5. データがどこに保存されているかを知る

マーケティング技術プロバイダーのEpsilon社のCIO、ロバート・ウォルデン氏は、「セキュリティ、コンプライアンス、プライバシーの観点から、すべてはデータにかかっている」と語った。 「SaaS ソリューションを介してどのような種類のデータが保存または送信されるのか、誰がデータにアクセスできるのか、誰がデータを所有しているのか、データはどのように保護されているのか、セキュリティ侵害が発生した場合に誰が責任を負うのかなどを理解することが重要です」と Walden 氏は述べています。

「多くの企業は、SaaS ソリューションに誤って保存されている機密データや、そのデータに誰がアクセスできるのかさえ認識していません」とウォルデン氏は言います。 「また、SaaS ソリューションの構築中に標準的なポイント アンド クリック契約が締結されると、ベンダーがデータの所有権を取得することが多いことに企業が気付いていないケースも少なくありません。」

6. データ損失または破損ポリシーを確認する

データ保護の観点から見ると、SaaS 契約には災害復旧条項が含まれているものの、その条項はデータが失われたり破損したりする状況には適用されないことに多くの企業が気づいていないと、ウォルデン氏は述べた。

7. SaaS調達プロセスにセキュリティを組み込む

調達プロセス中は、セキュリティおよびリスクチームのメンバーが常に調達チームと連絡を取る必要がある、とピント氏は述べた。 「調達チームはセキュリティ チームと足並みを揃え、プロセスの一環としてリスクを定量化させる必要があります。ほとんどの調達チームは、アイデンティティとアクセス管理が専門分野であることをまだ認識していません。」

ジョン氏は、データセキュリティに関する非技術的な話題が確実に扱われるよう、情報セキュリティ チームはすべての重要な議論に出席する必要がある、と述べました。 「当社では、サイバーセキュリティの問題が解決されないと、ベンダーが排除される可能性があります。」

8. SaaSプロバイダーが使用するサブサービスを特定する

議論されるトピックには、SaaS プロバイダーが使用する可能性のあるサブサービス組織も含める必要があります。 「契約書に署名する前にこの問題を解決することが極めて重要だ」とジョンは語った。 「これは、組織のデータ保存場所の要件に影響を及ぼす可能性があります。」

SaaS セキュリティ レポートを評価するときは、「レポートの範囲に契約の一部である場所とサブサービスが含まれていることを確認してください」と John 氏は述べています。これには、監査結果の範囲と信頼性を確保するために、契約と該当する安全報告書のクロスチェックが必要です。

議論では、規制遵守を確保するために SaaS プロバイダーが提供する方法についても取り上げる必要があります。 「この質問に答える際には、ベンダーのどの機能が規制遵守や、電子情報開示、データプライバシー、インシデント対応レポートなどの関連活動をサポートしているかを理解することが重要です」とジョンは述べています。

9. 無料のSaaSトライアル中に徹底的にテストする

IT 部門とセキュリティ部門は、最大容量やピーク時の使用量など、無料の SaaS トライアル中に機能をテストする必要があります。 「複数の管理者とスーパーユーザーが同時にこのツールを使用し、同じウィンドウでパフォーマンスを評価できるはずだ」とピント氏は語った。

また、同時実行およびマルチプロセス アクティビティもテストします。 「計算や情報の移動、レポートの作成などを行っている間、プログラムがいかに応答性に優れているかをユーザーは評価するはずだ」とピント氏は言う。

内部テストの一環として、「主要なセキュリティ プロセスが SaaS プロバイダーのソリューションと統合できるかどうかも評価する必要があります」と John 氏は言います。 「これにより、ソリューションの実装後にその安全性を確保するために必要な労力とコストの予測レベルを決定するのに役立ちます。」

10. SaaSプロバイダーのサードパーティ監査を確認する

ジョン氏は、セキュリティ管理の適合性と有効性を確認できる侵入テストの結果を含む、ベンダーの最新のサードパーティ監査レポートを要求して確認することが重要だと述べています。 「国内または国際認証の証拠を要求することは、組織のエンタープライズレベルの制御の成熟度を判断するのにも役立ちます。」