7 Key Findings from the 2022 SaaS Security Survey Report
2022/05/19 TheHackerNews — Adaptive Shield は CSAと共同で、今日の企業における CISO やセキュリティ担当者から見た SaaS セキュリティの状況を調査し、2022 SaaS Security Survey Report として提供している。このレポートでは、CSA 会員 340社から匿名の回答を集めることで、SaaS セキュリティ・リスクの高まりと、各組織もおけるセキュリティ対策の現状を調査している。
調査対象者の分布
回答者の 71% はアメリカ大陸に存在し、17% はアジア、13% は EMEA に存在している。このうち 49% は意思決定プロセスに影響を与え、39% はプロセスそのものを実行している。この調査では、通信 25%、金融 22%、政府 9% などの、さまざまな業種の組織を調査している。
この調査からは、数多くの示唆が得られるが、ここでは上位7つを紹介していく。
1:SaaS のミス・コンフィグレーションがセキュリティ・インシデントにつながる
2019 年以降、SaaS のミス・コンフィグレーションが最大の懸念事項となっており、少なくとも 43% の組織が、SaaSの設定ミスに起因するセキュリティ・インシデントに対処したと報告している。しかし、他の多くの組織は、セキュリティ・インシデントを経験の有無を判別できないと述べているため、SaaS の誤設定に関連するインシデントの数は、63% にも上る可能性がある。IaaS における、ミス・コンフィグレーションが原因のインシデントが 17% であることと比較すると、この数字は際立っている。
2:SaaS のミス・コンフィグレーション:アクセス可能な部署が多くて可視性が欠如
こうした SaaS のミス・コンフィグレーションの原因は一体何なのだろうか。いくつかの要因が考えられるが、アンケートの回答者たちは、SaaS のセキュリティ設定にアクセスできる部署が多すぎること (35%) 、SaaS のセキュリティ設定の変更を可視化できないこと (34%) という、3つの主要原因に絞り込んでいる。この2つは関連する問題であり、SaaS を採用する際に、可視性の欠如が最大の懸念事項として挙げられていることや、セキュリティ設定にアクセスできる複数の部署を、一般的な組織が抱えていることを考えると、どちらも驚くべきことではない。言い換えるなら、セキュリティ設定にアクセスできる部門が多すぎ、また、それらの部門の多くが適切なセキュリティ・トレーニングを受けていないことが、可視性の欠如の主な理由となる。
3: SaaS への投資に対して、ツール/スタッフへの投資が追いついていない
企業において、大量のアプリを導入されているという事実がある。この1年間だけでも、81% の回答者が、ビジネスに不可欠な SaaS アプリケーションへの投資を増やしたと回答している。その一方で、SaaS 用のセキュリティ・ツールへの投資は 73% であり、スタッフへの投資は 55% である。このバランスの悪さが、SaaS セキュリティを監視するために、既存のセキュリティ・チームへの負荷が増していることを表している。
4: SaaS のミス・コンフィグレーションを手動で検出/修正することで、組織は無防備になる
SaaS のセキュリティを手動で監視している組織の 46% は、チェックを月に1 回以下しか行わず、5% はチェックを全く行っていない。ミス・コンフィグレーションを発見した後に、それを解決するセキュリティ・チームはさらなる時間を消費する。約4社に1社は、手動でミス・コンフィグレーションを修正する場合に、1週間以上の時間を消費する。このような状況に陥る組織は、長時間の脆弱な状態を引きずることになる。
5: SSPM の使用により、SaaS のミス・コンフィグレーション修正の時間が短縮される
[4] の結果の裏返しとして、SSPM を導入している組織は、SaaS のミス・コンフィグレーションを迅速/正確に検出/修正している。これらの組織の大部分とも言える 78% は、SSPM を利用したことで、週に 1 回以上 SaaS セキュリティ・チェックを行っている。ミス・コンフィグレーションの解決に関しては、SSPM を利用している組織の 81% が 1 日から 1 週間以内に解決している。
6:サードパーティ・アプリのアクセスは最重要課題
サードパーティ・アプリは、no-code/low-code プラットフォームとも呼ばれ、生産性を高め、ハイブリッド・ワークを可能にし、企業のワーク・プロセスの構築/拡張における不可欠な存在となっている。しかし、多くのユーザーは、サードパーティ・アプリが要求する権限を考慮することなく、直ちにサードパーティ・アプリを接続している。サードパーティ・アプリに与えられる権限とアクセスは、無害なものかもしれない。しかし、実行可能ファイルのように、悪意のあるものである可能性もある。
SaaS-to-SaaS サプライチェーンを可視化することなく、従業員は組織のビジネス・クリティカルなアプリに接続するため、セキュリティ・チームは多くの潜在的な脅威を見過ごすことになる。SaaS アプリケーションの導入が進む中、企業が最も懸念することの1つとして、可視性の欠如が挙げられる。特にコア SaaS スタックに対する、サードパーティ製アプリケーションのアクセスに関する懸念は、56% という数字となっている。
先行投資と SSPM の導入
このカテゴリは、2年前に市場に導入されたばかりであるが、急速に成熟している。4種類のクラウド・セキュリティ・ソリューションを評価したところ、SSPM は平均して “やや馴染みがある” という評価を得ている。さらに、回答者の 62% が、すでに SSPM を使用しているか、今後 24カ月以内に導入する予定であると回答している。
まとめ
2022 SaaS Security Survey Report は、企業における SaaS アプリケーションの利用と保護の方式に関する洞察を提供している。企業において、より多くのビジネス・クリティカル SaaS が採用されていくことで、より多くのリスクが生まれることに間違いはない。この課題に正面から取り組むために、企業は2つのベスト・プラクティスを通じてセキュリティ確保を開始する必要がある。
- 1つ目は、セキュリティ・チームが、サードパーティ・アプリへのアクセスやユーザー権限など、すべての SaaS アプリのセキュリティ設定を完全に可視化することだ。それにより、組織が脆弱性を残すような不適切な変更を行うリスクを排除し、各部門からのアクセスを維持できるようにする。
- 2つ目は、SSPM などの自動化ツールを活用し、SaaS セキュリティに関するミス・コンフィグレーションを継続的に監視し、迅速に修正する必要がある。これらの自動化されたツールにより、セキュリティ・チームは、ほぼリアルタイムで問題を認識/修正することが可能となる。それにより、組織が脆弱なままに放置される時間を短縮し、問題の発生を完全に防止することが可能となる。
これらの変更は、いずれも、そのセキュリティ・チームをサポートする一方で、各部門における作業の継続を妨げないようにするものだ。
SaaS のセキュリティ問題は、その多くにおいてミス・コンフィグレーションに起因するという論調は、以前から随所で語られてきたものです。ただし、アクセス可能な部署が多くて可視性が欠如しているという指摘は、新たな視点を提供してくれました。また、サードパーティの no-code/low-code という項目ですが、これは、WordPress の Plugin や Chrome の Extension と同じことだと思います。コア SaaS とは異なり、セキュリティに詳しくない人が開発したものを接続すれば、そこに脆弱性が生じる可能性は大です。Adaptive Shield の 2022 SaaS Security Survey Report は、20ページほどの PDF であり、チャートが多用されているので、ともて見やすいレポートになっています。なお、SSPM については、2021年10月の「SaaS セキュリティ統合:SSPM ツールを選ぶ際のチェックリスト」と、2021年11月の「SaaS を安全に運用するためのソリューション:CASB と SSPM の違いはどこに?」がありますので、よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.