SaaS のセキュリティ：リスクを分析して対策を講じる

[eBook] The Guide for Reducing SaaS Applications Risk for Lean IT Security Teams

2021/10/13 TheHackerNews — SaaS (Software-as-a-Service) 業界は、わずか数年の間に、目新しいものから、ビジネス界に欠かせないものへと変化した。多くの企業にとってのメリットとして、効率性や生産性の向上と、容易なアクセスなどが明らかになっているが、SaaS モデルがもたらすリスクも目立ち始めている。現在、大半の企業が SaaS を利用していると言っても過言ではない。それにより、セキュリティ・チームにとって、大きな課題が生じている。

XDR と SSPM を提供する Cynet の新しいガイドである The Guide for Reducing SaaS Applications Risk for Lean IT Security Teams では、SaaS のエコシステムが危険な理由を示し、そして、セキュリティ・チームによる危険性の軽減方法をを具体的に説明している。

現在、平均的な中堅企業では、185 の SaaS アプリケーションが使用されている。それが意味するのは、アプリと人とのつながりの数が飛躍的に増加しているという状況だ。それらの中堅企業における、顧客との接点は平均で 4,406 箇所となり、単純に監視するだけでも膨大なリソースを必要とする攻撃対象となっています。ほとんどの SaaS アプリケーションに適用されているセキュリティ・パラダイムを考えると、デジタル災害のリスクを無視することはできない。

IT セキュリティ・チームのための SaaS リスクの理解

SaaS セキュリティ問題の核心の１つは、「何か問題が起こるかもしれない」というリスクでは、もう収まらなくなっていいることだ。SaaS アプリケーションは組織に深く浸透しているため、そこにセキュリティ侵害が生じると深刻な被害がもたらされる。サービスの停止から大規模なデータ侵害まで、深刻な問題が繰り返して引き起こされる可能性がある。

こうした、SaaS のリスクは、どこから発生するのだろうか？その答えは、複数の場所となる。

・SaaS プロバイダー自身：すべての SaaS プロバイダーが、同じレベルのセキュリティ管理を行っているわけではな。したがって、脆弱な SaaS プロバイダーをダイレクトに攻撃することで、攻撃者は全顧客へのアクセスを得られる。それは、信頼できるはずのサードパーティを介した、サプライチェーン攻撃が急増していることの説明にもなるり。

・プロバイダのデータ漏洩：SaaS アプリケーションは組織とつながっているため、大量のデータを処理する必要がある。その際に、ユーザー企業はプロバイダーのセキュリティ管理に依存せざるを得ないが、そのプロバイダーのセキュリティ管理が、常に万全であるとは限らない。

・アクセス・コントロールの設定ミス：IT チームやプロバイダーが、SaaS アプリケーションを適切に設定しないと、サイバー攻撃やユーザーに起因する問題が発生する可能性が生じる。

・不適切なソフトウェア・アップデート：複雑な SaaS システムでは、不適切なアップデートにより、新たな脆弱性の発生や１重要な機能の無効化などが生じ、大きな混乱へと発展する可能性がある。

・サービス・ダウンタイム：クラウド・ベースのモデルに関連する問題の１つとして、プロバイダーに問題が発生したときのサービス停止が挙げられる。問題の原因としては、プロバイダーの財政破綻から、データセンターの問題れ、従業員の不正に至るまで、さまざまな状況が考えられる。そして、SaaS 上で稼働するミッション・クリティカルなサービスが、遅延／中断／無効に追い込まれるリスクが生じる。

・インサイダーの脅威：多種多様なデータにアクセスできるため、プロバイダー内部の従業員が不正を行い、アクセス権限を犯罪目的に悪用する可能性がある。

IT セキュリティ・チームは、どのように管理すれば良いのだろう？

このような現状は、IT セキュリティ・チームにとって大きな課題となっているが、だからと言って、それで終わって良いものではない。ユーザー企業は、セキュリティに関しては依然としてプロバイダーに依存しているが、そのリスクを最小限に抑えるための手段を講じることができる。以下に、いくつかの対策を紹介する。

・プロバイダーを徹底的に吟味する。組織の要件や規制上の必要性を満たしているかどうかを確認する。

・プロバイダーが保持している、外部による検証や証明を調査する。

・SaaS management platforms (SMP) や SaaS Security Posture Management (SSPM) などの、セキュリティ・ポリシーの統一と一元化を支援する、外部ツールを利用する。

SaaS 関連のトピックとしては、「SaaS 運用の管理が甘いとサプライチェーン・リスクが生じる」や、「Salesforce Communities の設定ミスが顧客やパートナーにリスクをもたらす」などが、なかなか面白い視点を提供しています。また、SaaS で検索すると、その他の記事も参照できます。このところ、クラウド・セキュリティに関する記事が増えていますね。新たな視点の登場が、とても楽しみです。