Unmanaged SaaS Data Brings Supply Chain Risks
2021/08/30 SecurityBoulevard — SaaS (Software-as-a-Service) のデータに対するアクセスが管理されていなと、内部および外部からの脅威が発生する可能性が高まる。その理由を、DoControl Inc の新しいレポートが示している。この SaaS セキュリティ企業は、平均 1,000人の従業員を抱える企業と、50万件〜1,000万件の資産を持つデータストアを評価した結果として、SaaS データ・アクセスの40%が管理されていないことを発見した。つまり、膨大な資産が、パブリックに共有される可能性があるのだ。
Cyberhaven の CEO である Howard Ting は、「この調査結果は業界にとって重大なことであり、直ちに警鐘を鳴らすべきことだと思う。企業がデータをクラウドに移行すると、内部だけではなくパートナーやサプライチェーンの人々も、それらのデータにアクセスできるようになるため、データの潜在的な露出度が桁違いに高まる。企業は、 SaaS ベンダーに説明責任を負わせ、誰が自社のデータにアクセスし、どのように保護されているかを正確に知るために、監査が可能な方式を用意することが不可欠になる」と述べている。
DoControl の研究者たちによると、平均で 400個の暗号化キーが何らかのリンクを持つ誰かと社内で共有されており、また、SaaS 資産の 20% が何らかのリンクを介して社内で共有されているため、閲覧権限のないデータポイント経向けて、多くの従業員がさらされることになる」と指摘している。この1年間を、ほとんどリモートワークで過ごしたにもかかわらず、個人資産と会社資産を分離する重要性を、企業は従業員に伝えていないようだ。DoControl によると、従業員の 8% は企業アカウントの資産を個人アカウントと共有し、会社のデータがセキュアに扱われない状態が続いている」と述べている。
社外における SaaS の脆弱性
リスクは、内部からの脅威だけではない。この報告書によると、組織の SaaS へのアクセス方法は、外部からの力に対しても脆弱であることが分かった。複数の企業が、1,000人〜15,000人の外部協力者に対して、企業データへのアクセスを許可していた。また、200社〜3,000社の外部企業 (主にサードパティ) が、企業の資産にアクセスしているとも指摘している。それほどの問題ではないと思うなら、SaaS アプリケーション資産の 18% が外部で共有されており、また、一度外部と共有されたデータは、対象となるユーザーを削除しても、消えてなくなることはないと考えてほしい。
JupiterOne の CISO である Sounil Yu は、「管理されていない SaaS の利用は、企業の機密データが想定されていない場所へと、拡散される可能性があることを意味する。また、SaaS アプリケーションは、他の SaaS アプリケーションと統合されるケースも多い。これらの統合が管理されていない場合、複数の SaaS チャネルを介して、企業データへの過度に寛容で継続的なアクセスを許可してしまう危険性がある」と述べている。もちろん、SaaS アプリケーションにとって、コラボレーションは重要な視点であるが、企業に対する攻撃対象が拡大することが予想される。
DoControl の CEO である Adam Gavish が指摘するように、データ資産を保護するためには、アクセス管理に関する組織の慣習を変えなければならない。彼は、「これまで、セキュリティ担当者は、SaaS への安全なアクセスに注力してきたが、これからは、社内外からのデータへのアクセスの関連性を優先すべきだ。管理できないデータ・アクセスは、あらゆる組織に大きなリスクをもたらし、データ侵害の可能性を高める」と述べている。AppOmni の VP of Rngineering である Tim Bach は、「これまでの 10年間で、SaaS は企業内のテクノロジー・ソリューションとして定着し、いまでは日々の業務における重要な役割を担っている。Salesforce / ServiceNow / Workday / Microsoft365 / GSuite / Box / Slack などのアプリケーションが重要性を増し、組織内のビジネスラインの重要な活動を支えている」と述べている。
マルチクラウド環境のセキュリティ
しかし、SaaS のマルチクラウド環境は、セキュリティを確保するのが難しいと言われている。Symmetry Systems の CEOである Mohit Tiwari は、「プロダクション・データ・ストア (SQL / NoSQL / Caches / Queues) や分析データ・レイクなどは、機密データを含み、インターネットに接続されている。さらに、それぞれのデータ・ストアは、暗号化やアクセス・コントロールなどの異なるノブを公開しており、設定や同期の維持が困難だ」と説明している。Tim Bach は、「ユーザーに対してアプリの存在すら感じさせないほどのユビキタス性と利便性は、パラドックスを生み出している。
データの機密性や、業務上の重要性、完全なデータの必要性などの、大半の客観的な基準において、それらのアプリとデータは、重要な IT インフラ・スタックの一部である。しかし、企業にとって重要な IT を管理/保護する担当者からは、ほとんど注目されていない」と述べている。同氏によると、一般において SaaS は、「IaaS やベアメタルなどの IT インフラ・スタックのように、価値とリスク関する調査 (Due Diligence) を受けていない」とのことだ。その結果として、組織は「機密情報の完全性を損ない、業務を混乱させ、評判や市場価値を低下させる、リークやブリーチに対して脆弱になる。したがって、SaaS を重要なインフラとして扱い、安全性を確保するための、相応の投資を行う必要がある」と Bach は述べている。
Sounil Yu は、「これらの課題に対処するために、組織にとって最初に必要なことは、どの SaaS アプリケーションが使用されているかを可視化することだ。さらに、組織は SaaS アプリケーションの許可範囲を明示的に確認し、ID プロバイダーを介した認証を許可する前に、それらを承認する必要がある。組織は、Single sign-on を介さずにアクセスされる SaaS アプリケーションに対して、注意を払う必要がある」 と述べている。どこにセンシティブなデータがあり、どのように保護され、どのように使用されているのかを、監視する方法について根本的に見直すことが、あらゆる企業にとって必要だ。
手軽で便利で生産性も上がる SaaS ですが、わりとユルユルで使っていませんか? という主旨の記事で、とても有り難い指摘がたくさんありますね。こじんまりとした組織で利用するには、なんの問題も生じないのでしょうし、問題が発見されても簡単に修正できますが、大組織になると、そうもいきません。このところ、クライドに関する問題点が、いろいろと浮上してきています。
Microsoft Windows 365 をセキュアに運用するためのガイダンスとは?
アプリケーションのセキュリティを基本路線に引き戻すには
Black Hat 2021:クラウドの脆弱性にも CVE アプローチが必要なのか?
Salesforce Communities の設定ミスが顧客やパートナーにリスクをもたらす
IoT OT Security News 