SaaS 利用に関する調査:利便性と安全性のギャップを埋める方法はあるのか?

Companies underestimate number of SaaS applications in their environment

2022/09/02 HelpNetSecurity — 米国/英国/欧州の企業における SaaS 利用に焦点を当てた最新調査で、SaaS アプリの利用とセキュリティの間に、顕著な違いがあることが明らかになった。現状として、回答者の大半 (74%) は、利用しているアプリの半分以上が SaaS ベースであると報告している。また、英国の企業の 70%は、今日における SaaS アプリへの支出は、1年前よりも増えていると報告している。


しかし、導入が進み、コストが増加する一方で、大半の企業が SaaS セキュリティの緊急性と優先順位が低いと報告している。調査対象となった英国企業のうち 62% は、現在のセキュリティ優先事項のリスト内で、SaaS セキュリティを4位以下に位置付けている。また、SaaS ベースのアプリ使用の増加に伴う、コスト増を懸念していると回答したのは、わずか32% だった。

Axonius の CEO である Dean Sysman は、「現在、SaaS の導入に関する最大の懸念は、大半の企業が自社内の SaaS アプリの数を、過小評価していることだ。SaaS には、柔軟性/アクセス性/生産性の向上など、数多くのメリットがある。誰でも SaaS アプリに登録し、業務データに接続することが可能だ。しかし、それは同時に大きなリスクも伴う。IT/セキュリティ・チームは、すでに、企業内の資産の特定に苦労している。SaaS アプリは、データと相互接続の可視化/設定の管理/セキュリティ・ギャップの解消/ライセンス/使用状況/支出の追跡をなどの機能を、さらに複雑にしている」と述べている。

英国の回答者の 79%は、SaaS アプリの増加により企業の環境が複雑化し、セキュリティ・リスクが増大したことを認めている。しかし、セキュリティへの関心が高まらない理由について質問すると、英国の回答者は、時間とリソースが限られていること (38%) /人材不足 (23%) に加えて、C-Suite から他の問題に注力するよう圧力をかけられていること (15%) などを挙げている。

Commercial Bank の CISO で Axonius アドバイザーでもある Jerich Beason は、「SaaS への意欲は高まるばかりで、データの流出やセキュリティへの影響は、さらに深刻化するだろう。これらのリスクはもはや仮説ではなく、SaaS アプリの状況を完全に把握できなければ、企業はシャドー SaaS によるデータ損失/政府や規制当局に対するコンプライアンス違反/企業の支出に関する洞察の欠如になどに起因する、財務的負担の影響を受け続けることになる。企業は、もはや SaaS の複雑性の緩和を待てない状況にある」と述べている。

英国の回答者の 77%が、SaaS アプリに保持されている機密データの量を知ることで、将来的に SaaS のセキュリティを優先させると回答している。米国企業で同じことを述べていたのは、62%にすぎなかった。さらに、英国企業の 39%は、SaaS アプリのリスクに関して、データ損失が最大の懸念事項であると回答している。

すでに、私たちは、安全ではない SaaS 環境と潜在的なデータ損失がもたらす結果を目の当たりにしている。

2022年3月に、Okta は、同社のプラットフォームが標的型セキュリティ攻撃の被害を受けたことを発表した。また、4月には、GitHub Security が、Heroku/Travis-CI という2つのサードパーティ OAuth インテグレータに発行された、OAuth ユーザートークンが不正に盗まれた件について、調査を行ったと発表している。SaaS のセキュリティ・リスクに対処するために、企業は優先順位を見直すべきであり、SaaS セキュリティに異なるアプローチを採用する必要があることは明白だ。

SaaS のセキュリティと言っても、すべてがプロバイダー側から提供されているならば、ユーザーとしては基本的に手の打ちようがありません。しかし、API 接続や、各種のプラグインなどの問題により、コア部分が安全であっても、ユーザーには被害が生じるというケースもあるでしょう。また、対象となる SaaS を構成するソフトウェア・コンポーネントが可視化されるなら、問題の発見が早まるという可能性もあります。ただ、そのためには、SBOM のような構成情報の開示が必要になります。考えるべきことが、たくさんありますね。この記事の元データとなっている、Axonius の Study: The Truth About SaaS Security and Why No One Cares…Yet も、よろしければ、ご参照ください。

%d bloggers like this: