SaaS を安全に運用するためのソリューション:CASB と SSPM の違いはどこに?

Securing SaaS Apps — CASB vs. SSPM

2021/11/01 TheHackerNews — Cloud Access Security Brokers (CASB) と SaaS Security Posture Management (SSPM) は、SaaS アプリケーションのセキュリティに対処するために設計されたソリューションであるため、しばしば混同される。CASBは、重要なデータを保護するために、複数のセキュリティ・ポリシーを実施することで、機密データを保護する。

Personally Identifiable Information (PII)/Intellectual Property (IP)/業務記録などの機密情報の識別と分類には、間違いなく CASB が役立つ。しかし、SaaS アプリケーションの数が増えれば増えるほど、設定ミスや露出の可能性が広がり、CASB による軽減は不可能になる。CASB は、ユーザーとクラウド・サービス・プロバイダーをつなぐ役割を果たし、さまざまなクラウド環境における問題を特定できる。しかし、CASB の弱点は、問題が発生した後に問題を発見することだ。

組織における SaaS アプリケーションを完全に可視化して、コントロールするには、SSPM ソリューションの方が適している。セキュリティ・チームによるアプリケーションの導入が簡単になり、即時の構成評価から継続的なモニタリングにいたるまで、数分でメリットを得られる。SaaS スタックの構成上の弱点や設定ミスを修正することで、セキュリティ・チームは漏洩や違反を現実面で防ぐことができる。

今日の SaaS 環境にとって、SSPM が理想的なソリューションである理由を理解するには、SaaS の導入に伴う課題を見てみるのが一番だ。情報セキュリティの専門家の 85% が、今日の組織が直面しているリスクの Top-3 のうちの1つとして、SaaS のミスコンフィグレーションを挙げている。この課題は、私たちが「SaaS セキュリティにおける3つのV」と呼んでいるものに起因している。

  • Volume:管理/設定/更新するアプリの数が増え、それぞれが独自のセキュリティ設定を持つため、各アプリが企業のポリシーに準拠していることを、セキュリティ・チームは確認する必要がある。何百ものアプリの設定と、何万ものユーザー・ロールと権限がある場合、このシナリオは非現実的で持続不可能なものとなる。Adaptive Shield の 2021 SaaS Security Survey Report によると、SaaS のミスコンフィグレーションを、毎週チェックできていると答えた企業は僅か 12% だった。
  • Velocity:SaaS 環境はダイナミックであり、絶えず変化していく。従業員の増減や新しいアプリケーションの導入に伴い、すべての設定が全社的に実施されていることを、セキュリティ・チームは継続的に確認する必要がある。セキュリティ環境の動的な性質が、すでに手一杯のセキュリティ・チームに、さらなるプレッシャーを与えている。
  • Visibility:ほとんどの SaaS アプリケーションは、それを最も利用する部署で購入され、実装される。そのため、アプリの所有者の使用状況や、潜在的なリスクの把握について、セキュリティ・チームは知ることができない。管理者権限を持つ従業員は、セキュリティに関するトレーニングを受けておらず、生産性に重点を置いているため、企業を危険にさらす可能性がある。そのため、SaaS アプリケーションを正しく設定すること、組織のセキュリティチームが定期的に監視することが重要となる。

    SaaS アプリケーションのプロバイダーは、企業やユーザーのデータを保護するために強固なセキュリティ機能を備えているが、その機能が正しく実装されているかどうかは別問題である。つまり、設定と実施は、アプリを利用する組織の責任となる。

  • Adaptive Shield のような、SaaS SaaS Security Posture Management は、今日の企業のセキュリティにとって非常に重要だ。Gartner は、今後5年から10年の間に、SSPM の影響力を増すと予測している。

    この混沌とした SaaS 環境を効果的に管理する能力を持つ SSPM は、SaaS アプリのセキュリティ・リスクとポスチャーを、継続的に評価/管理し、設定ミスや高度な攻撃を防ぐことができる。

    CASB は、SaaS レイヤーにおける組織のセキュリティ・ギャップに対処しますが、前述のように、侵害が発生してからの検知に焦点を当てたリアクティブなものである。ミスコンフィグレーションを防ぐためには、プロアクティブな識別が重要であり、SSPM は安全でセキュアな SaaS 環境を確保するための、最良の選択肢となる。

10月14日に「SaaS セキュリティ統合:SSPM ツールを選ぶ際のチェックリスト」という記事をポストしましたが、この SaaS Security Posture Management が注目されつつあるのでしょうか?クラウドのミスコンフィグレーションの怖さは、「Salesforce Communities の設定ミスが顧客やパートナーにリスクをもたらす」を読んで頂ければ解ると思います。Volume と Velocity と Visibility の3つのVと、CASB との違いを忘れないようにしましょう。