SaaS-to-SaaS サプライチェーンの時代:保護すべき対象がズレ始める時代

The SaaS-to-SaaS supply chain is a wild, wild mess

2022/05/12 HelpNetSecurity — クラウドへの移行と IT の民主化により、ビジネス・ワークフローのデジタル化と自動化のための統合が進み、相互に接続されたビジネス・アプリのネットワークが拡大し続けている。デジタル・トランスフォーメーション時代の従業員たちは、生産性を高めるために、SaaS アプリや、Workato/Zapier などの no/low code プラットフォーム、サードパーティ・アプリを独自に採用/接続している。

その結果として、ベスト・オブ・ブリードのアプリを選択せざるを得なくなり、アプリ間の統合が進み、複雑なウェブを形成している。この拡大する新しいネットワークは、クラウド上に構築され、サードパーティ・ベンダー統合をベースとして、企業の相互接続の将来像として SaaS 間サプライチェーンを導入している。

きわめて動的なクラウド環境において、これらのアプリケーションの間を大量のデータが流れる状況へと変化し、現代の企業はデータサイロや孤立したアプリの時代に逆戻りすることが不可能になっている。しかし、新たな接続や自動化されたワークフローが生まれるたびに、シャドウ接続が無差別に増大し、新たなリスク表面が拡大している。つまり、相互接続時代のユビキタス現象でもある、SaaS 間サプライチェーンがもたらす、規模/拡大/セキュリティ/ガバナンスなどの課題に対して、CISO たちには留意/検討しなければならない状況に陥っている。

人間以外に対するゼロ・トラストとは?

長年にわたりセキュリティ・チームは、人間とアプリの相互作用の保護にフォーカスしてきた。そして、管理対象デバイス/エンドポイント・セキュリティ/CASB/ZTNA/MFA/IdP などのセキュリティ管理を採用してきた。しかし、今日の SaaS 間サプライチェーンにおいては、アプリ統合/人間以外の ID/アプリ間接続が盛んであり、作業プロセスの合理化と自動化のために、人間という要素が省かれている。

SaaS-to-SaaS のサプライチェーンは、人間以外の ID が生み出す新たな接続やリスクについて、セキュリティ・チームに対して注意を促すことなく、無制限に成長し続けている。アプリ間の統合においても、人間以外の ID が継続的に増加している。したがって、攻撃者たちは、それらの機密データを大量に扱うプラットフォームに対して強引にアクセスし、新しい攻撃領域として悪用しようとしている。

その一方でセキュリティ・チームは、差し迫った攻撃の規模と精巧さに苦慮している。これらの脅威に気づかず、アプリの採用がフォームへの署名と同じくらい簡単になると、従業員は新しいアプリを採用するために CISO の同意を得なくなり、既存のコントロールのバイパスが容易になり、CISO はサードパーティのアクセスを管理できなくなる。 結果として、悪意の攻撃者が人間以外の ID を悪用し、ビジネス・アプリへの不正アクセスを取得したことで、サードパーティ・ベンダーを介したサプライチェーン攻撃が、この数年の間に急増している。

サードパーティによる API 乗っ取り攻撃

企業における予算や組織のリソースが、内部セキュリティ体制を強化するために増強されているが、管理されていないサードパーティの統合により、重要な資産は外部の脅威にさらされたままに放置されている。 大きな問題となった Solarwinds 攻撃は、組織におけるサードパーティ統合への依存を浮き彫りにし、サードパーティのリスクを管理するには、既存のソリューションが極めて不適切であるという、必然的な反発につながっていった。

こうした攻撃キャンペーンの一環として、Microsoft Azure のケースではアプリの資格情報が悪用され、Mimecast などのサードパーティ・ベンダーを標的とする、API 乗っ取り攻撃が注目を浴びた。結果として、そのような統合を悪用する攻撃者が、重要なビジネス・アプリに対して、不正にアクセスする方法が浮き彫りにされている 。

超自動化企業のセキュリティ

SaaS-to-SaaS サプライチェーンは、そのユニークな特性から、サードパーティを介した侵害を増やすだけではなく、脅威アクターが攻撃のベクトルとして悪用できる、さまざまな方法をもたらしている。それぞれの企業が、ビジネス・ワークフローの自動化を目指している。そこで、接続のための手法として選ばれているのが、ハイパー・オートメーション、no/low code、EAI (Enterprise Application Integration) プラットフォームなどである。

これらのプラットフォームの多くは、セキュリティ・ガバナンスや監視に疎いシチズン開発者により構成されており、ミス・コンフィグレーションや機密データの漏洩を引き起こす可能性が高い。このようなプラットフォームを積極的に狙う攻撃者が多いのは、企業の最も重要なビジネス・アプリでの高権限という王国への鍵が、そこに存在するからだ。

悪意の OAuth トークンによるアクセス

ヒューマンエラーの悪用や、従業員を騙して信頼を得ることが、攻撃者にとって有利な機会であることから、SaaS マーケットプレイスにおける従業員の独立性をターゲットにした、フィッシング・キャンペーンが展開されている。多要素認証 (MFA) の導入が進み、ユーザー名とパスワードによる不正アクセスが難しくなり、従来からのアカウント乗っ取り手法は効率が悪くなっている。

そこで攻撃者たちは、マーケットプレイスやサードパーティアプリを活用し、従業員を騙して悪意のアプリをインストールさせ、高い権限を持つ OAuth トークンを提供し、MFA などのセキュリティ制御をバイパスするための、巧妙な同意型フィッシング・キャンペーンを行っている。

すべては信頼の管理に帰結する

今後も SaaS-to-SaaS サプライチェーンは成長を続け、プロセスの簡素化と自動化/堅牢なデータ収集などの、エンタープライズ・ソフトウェアのメリットの最大化していく価値を、企業に対して提供することだろう。とは言え、セキュリティ・チームは、このワイルドな混乱の落とし穴という課題を、無視し続けることはできない。この混乱は、外部ベンダーに対する組織的な依存度を高め、統合と相互接続のためにサードパーティを信頼するようになる一方で、最も重要な資産を危うくする可能性を生み出す。

人間から人間以外へと、ワークフローを妨げることなく相互作用は移行するが、これらの統合を確実なものにするためは、パラダイムシフトが必要である。言い換えるなら、一連の課題を、サイロ内で軽減/解決することは不可能である。セキュリティ・チームは、ビジネス・アプリ・チーム/分散型オーナー/シチズン開発者/エンド・ユーザーとの連携を強化することで、可視性と制御性を高め、SaaS-to-SaaS サプライチェーンを安全に成長させ、イノベーションを強化し、生産性を高め、デジタル変革の旅から、組織が利益を享受できるようにする必要がある。

この記事の冒頭にある、「この拡大する新しいネットワークは、クラウド上に構築され、サードパーティ・ベンダー統合をベースとして、企業の相互接続の将来像として SaaS 間サプライチェーンを導入している」という一文ですが、今の時代を切り取るスナップショットのように思えてきます。このブログ内を SaaS で検索したら、2021年8月の「SaaS 運用の管理が甘いとサプライチェーン・リスクが生じる」や、10月の「SaaS のセキュリティ:リスクを分析して対策を講じる」、2022年1月の「NIST の CSF フレームワーク:SaaS セキュリティへの適用は合理的」などが出てきました。よろしければ、ご参照ください。

%d bloggers like this: