クラウド アプリケーション サービスはどの程度安全ですか?

IT の民主化と SaaS の広範な採用により、誰もが SaaS クラウド コンピューティング アプリケーションのセキュリティを理解する必要があります。

Software as a Service (SaaS) のないシナリオを想像することはできますが、多くの企業、組織、個人がほぼ毎日これらのクラウド アプリケーション サービスに依存しているため、それを実現するのは非常に困難です。

SaaS アプリケーションに依存する人が増えるほど、自分の責任の重要性を認識するようになります。 SaaS 分野のセキュリティ、ガバナンス、コンプライアンスについては、慎重な検討が必要です。

[[226105]]

ユーザーは最高情報セキュリティ責任者（CISO）です

ほとんどの Office 365 または SalesForce と Slack ユーザー、またはその他の SaaS アプリケーションは、ソフトウェアを介してそれらに接続し、作業を完了します。しかし、多くの場合、多くの設定を制御する権限も持っています。以前は、これは IT マネージャーによって処理されていましたが、IT マネージャーは、アプリケーションが登録されるかどうかに影響を与えたり、決定したりすることもできました。

つまり、エンドユーザーは SaaS アプリケーションを使用するだけでなく、それを評価および管理する役割も担うことになります。これは、「IT の民主化」によって人々の手に技術が渡っただけでなく、責任も増大したことを示しています。多くの点で、人々は仮想世界で最高情報セキュリティ責任者 (CISO) になる必要があります。

以下は、SaaS アプリケーションのセキュリティに関する基本的な質問です。特に認証、暗号化保護および管理。

認証オプション

エンドユーザーに最も近い SaaS セキュリティのトピックはパスワードと認証ですが、多くの課題があります。ユーザーは注意する必要があるだけでなく、混乱する可能性もあります。たとえば、安全なパスワードを作成するための元のルールは適用されなくなります。

パスワード マネージャーは長いパスワードを作成および管理するのに適した方法であり、現在では推奨されていますが、設定されたパスワードがハッキングされないという保証はありません。しかし、いずれにしてもパスワードを設定することは効果的な対策です。

2 要素認証 (2FA) は、通常は別のデバイスに確認コードを送信することによってセキュリティ対策を実装する 2 番目のステップです。しかし、このアプローチをどのように実装するのが最善かについては議論があります。たとえば、米国政府は本人確認に SMS (テキスト メッセージ検証コード) を使用することを推奨していません。

さらに、生体認証やジオタグなど、認証を強化し、異常なログインアクティビティに対してアラートをトリガーできる他の要素もあります。強力な認証は、暗号化されたチャネル、パスワードのハッシュ化、イベント監視、その他の高度な技術とも関連しています。

では、SaaS プロバイダーはどのような認証を使用しているのでしょうか? 2要素認証か多要素認証か?他の方法でパスワードのセキュリティを強化していますか?複数のアプリケーション間でシングル サインオン (SSO) またはフェデレーション認証をどのように実現するのでしょうか?

データを暗号化して保護する

もう 1 つの懸念は、企業がデータやアプリケーションを操作すると何が起こるかということです。企業の SaaS プロバイダーは、転送中、使用中、保存中のデータをどのように処理しますか?

従来、Web 企業は通信に Secure Sockets Layer (SSL) を使用してきました。実際、IETF は 2015 年に SSL を非推奨とし、SSL 3.1 に代わって Transport Layer Security (TLS) 1.0 が導入されました。これらの暗号化プロトコルを実装している Web サイトには、「Secure HTTPS (SSL/TLS の HTTP)」というラベルが付けられます。

SaaS プロバイダーが多くのクラウドベースの企業と同様であれば、おそらくマルチテナント アーキテクチャを使用しているため、自分のデータが他の誰かのデータと隣り合うことになる可能性が高くなります。どのようなタイプの暗号化が使用され、制御はどの程度細かく行われますか?アーキテクチャに関係なく、データをどのようにバックアップ、複製、保存、回復するのでしょうか?

もう 1 つの一連の質問は、データの種類に関するものです。最も注目を集めているデータ侵害は、個人を特定できる情報 (PII) の漏洩に関係しており、政府機関による規制が強化され、欧州連合の一般データ保護規則 (GDPR) のもとで大きな注目を集めています。では、暗号化に加えて、SaaS プロバイダーは PII や機密データの損失を防ぐためにどのような方法を採用しているのでしょうか?

経営、ポリシー、ガバナンス

データ損失防止 (DLP) のトピックは、誤った設定によりデータが誤って公開される可能性があるため、ユーザー制御の問題と重複しています。エンドユーザーは、最小限のトレーニング（またはトレーニングなし）でほとんどの SaaS アプリケーションの使用を開始できますが、損害が発生する可能性があることを考慮すると、これは良い方法ではない可能性があります。

エンドユーザーにそのような制御権限が与えられたとしても、人為的エラーの可能性は限られます。よりスマートなアプリケーション (または管理オーバーレイ) は、PII にタグを付け、安全にロックダウンするのに役立ちます。

管理ロールは、セキュリティとコンプライアンスが影響を与えるもう 1 つの問題です。特権アクセスを制限することは一般的に良い慣行ですが、GDPR 規制では特に重点が置かれています。適切に設計されたアプリケーションでは、アカウントの追加と削除も簡単に行える必要があります。この点に関して、企業は、SaaS プロバイダーがユーザー ID の交換を自動化するオープン スタンダードである System for Cross-domain Identity Management (SCIM) を活用しているかどうかを確認する必要があるかもしれません。

企業と SaaS プロバイダーに対する最終的なポリシー関連の質問: 企業ネットワークまたは VPN と一致する特定の IP 範囲にログインを制限できますか?企業がモバイル デバイス上のアプリの可用性を管理できるようにしていますか?セッション タイムアウトしきい値の調整はありますか?

サイバーセキュリティの忍者以上の存在

上記の質問のいくつかは基本的なように思われ、サイバーセキュリティ管理者だけが重要な点を把握していると思われるかもしれませんが、そうではありません。ここで、このトピックの謎が解明されるはずです。クラウド アプリケーション セキュリティの所有権を包括的かつ普遍的な責任として捉えることは、アプリケーション メーカー、エンド ユーザー、サード パーティ プロバイダーなど、すべての人にとって利益になります。