SaaS Shadow IT をゼロにしたい：非侵入型ディスカバリー・ツールの無償版とは？

Eliminating SaaS Shadow IT is Now Available via a Self-Service Product, Free of Charge

2023/01/28 TheHackerNews — SaaS (Software as a Service) の利用が急成長しており、その勢いに衰えは見えない。分散型で使い易いという特性は、従業員の生産性を高める上で有益だが、セキュリティや IT に関する多くの課題も生じさせている。組織のデータへのアクセスを許可された、すべての SaaS アプリケーションを追跡することは困難な作業である。また、SaaS アプリケーションがもたらすリスクについて、理解することも同様に重要だが、目に見えないものを保護することは困難である。

数多くの組織が、アクセス管理ソリューションを導入しているが、それらが持つ可視性は、事前に承認されたアプリのみに制限されている。平均的な中規模組織では、数百の SaaS アプリが、時には数千の SaaS アプリがある。手軽なソリューションを必要とする従業員や、無料版を見つけた従業員が、IT とセキュリティを完全に回避して、それらを導入しているのが現状である。このようなアプリの多くが、必要とされるセキュリティ基準やコンプライアンス基準を満たさないとしても、組織へのアクセス許可を得ているため、大きなリスクとなる。

先日に Wing Security は、SaaS アプリ発見エンジンを、無料のセルフ・サービス製品として提供することを発表した。このツールは、従業員が会社のポリシーに従わずに採用した、リスクの高い SaaS アプリを特定できるように設計されている。

SaaS ディスカバリーの民主化

近年では、組織内における SaaS の普及に伴い、SaaS Shadow IT に関連するリスクが顕在化してきている。しかし、これまでのセキュリティ・ソリューションの多くは、自動的な修正機能を提供するのではなく、セキュリティ・チームに問題を認識させることに重点を置いていた。実際のところ、SaaS 関連のリスクに対処するための最初のステップは、組織内で使用されている SaaS スタックを明確に理解することだ。この情報は、SaaS アプリのように簡単にアクセスでき、操作しやすいものが必須となる。

Wing Security は、SaaS 利用拡大に伴うリスクを、セキュリティ・チームが適切に可視化し理解できるよう、SaaS Discovery ツールを無料のセルフ・サービス製品として提供することにした (参照リンク) 。組織の規模や予算の大小にかかわらず、組織内で使用されている SaaS アプリを、セキュリティ・チームが包括的に把握し、より深く理解することが、同社の目的である。

Wing Security Free Edition に含まれるのは？

• 迅速で簡単なセルフ・オンボーディング。
• 組織内で使用されている SaaS アプリのための、フレンドリーなダッシュボード・ビュー (サードパーティ・アプリを含む)。
• リスクの高いアプリに対して設定される、システム内でのフラグ。
• 各 SaaS アプリにおける、コンプライアンス達成度／組織への接続状況／付与されている権限／利用ユーザーに関する詳細 (最初の 100個のアプリまで)。
• 各 SaaS アプリに対する Wing Security のレピュテーション・スコア (shields として 0～3 で表現)。
• 分類とタグ付けのオプション。

非侵入型ディスカバリー：エージェントなし：プロキシなし

最新のセキュリティ・ソリューションは、非侵入型であるべきだというのが、Wing Security からの提案の核心である。組織の SaaS アプリ使用状況を把握するために、Wing は API を使用して、IT 部門が承認した主要 SaaS アプリに接続する。そこに含まれるのは、Google／Office 365／Salesforce／GitHub／Slack などの、一般的に使用されているアプリの大半である。

そして Wing は、それらと接続されている SaaS アプリを、すべてマッピングすることが可能になっている。つまり、SaaS アプリは、巨大なメッシュ状に相互接続され、Shadow Network と呼ばれる接続網が形成される。この Shadow Network は、Wingが アプリのマッピングに使用するものだが、組織内の横移動に悪用される可能性があり、セキュリティ上の懸念にもなり得る。Wing は、エンタープライズ向けのフル・サービスにおいて、これらのアプリを使用するすべてのユーザーと、これらのアプリ内およびアプリ間に存在するデータもマッピングし、使用中のアプリが侵害された場合には、ほぼリアルタイムのセキュリティ警告を発する。

ユーザーに求められるものは？

この非侵入型の発見エンジンと調和を図るために、Shadow Network の無料版は、組織のスーパー管理者により許可される、きわめて基本的なパーミッションを必要とする。

必要なパーミッションの大半は、読み取り専用である。ただし、ユーザーがサードパーティ・アプリに発行したトークンを、Wing が可視化できるようにするために、管理アクセスを必要とする Google の１ つの権限がある。Wing Security は、関連する製品ページにおいて、顧客のデータを安全に保つことが優先事項であると述べ、データ・セキュリティのために実施されるコンプライアンスを提供している。

何が SaaS としてカウントされるのか？

SaaS という言葉は Software as a Service の略であるが、Service という言葉から想像されるように、すべての SaaS が有償そいうわけではない。最近、よく使われている SaaS には、３つの種類ある。

Slack／Dropbox／Google／Microsoft などが提供する、エンタープライズ向け SaaS であり、主に有料で利用されているもの。

デザイン系の Figma／Canva や、営業系の Outreach／エンジニア系の GitHub といった、特定の分野をターゲットにしたニッチ・ユースな SaaS 。つまり、SaaS セキュリティの Wing も同様である。これらの SaaS ユーザーには、有料／無料が含まれることがある。

個人が使っている完全に無料のアプリ。誰にも知られずに使われているアプリ。また、無料トライアルのために登録され、何らかの理由で忘れ去られたアプリ。

これらの３つが、SaaS アプリの主要タイプだが、どちらかというと不安定なものである。SaaS アプリは、企業の成長と進化に伴い、定期的に移動していく。しかし、これらのアプリが、組織の電子メールを用いたログインを要求する限り、Wing Security の無料ディスカバリーで発見することが可能だ。

Wing Security の有料版で利用できるものは？

Wing Security の有料版は、Wing Security Enterprise Editionと呼ばれ、Free Edition の全機能に加え、以下が提供される。

• ディープな SaaS 検出：すべてのブラウザ・エクステンションに対応。また、ローカルにインストールされた SaaS アプリや、社内で開発された SaaS アプリの検出も含む。
• SaaS アプリ上で共有される、あらゆる機密データの監視。たとえば、パブリックな Slack チャネルで共有される AWS キー。
• 過剰なパーミッション／ユーザーの不整合／異常な使用といった、ユーザー関連のリスクの管理。
• 組織内で使用されている SaaS アプリが、侵害やサイバー攻撃の当事者となった場合に発出される、リアルタイムの脅威インテリジェンス・アラートと、実行可能なアップデート。
• 修正ツール：Wing Security で発見された問題の多くは、フレンドリーな UI 内で、数回のクリックにより解決可能であり、手動での解決は不要。
• 内蔵の自動化ツール：SaaS セキュリティ問題の中には、同じ問題が何千ものインスタンスで繰り返し発見され、広範囲に及ぶものがある。手動で問題を解決しようとすると、何年もかかるかもしれない。Wing のビルトイン自動化ツールは、数回のクリックにより、このようなケースであっても数分での解決を可能にする。同じ問題が、今後も発生する可能性がある場合、Wing Security はポリシーの設定により、長期的な保護を実現する。
• エンドユーザーとの連携：Wing のインターフェースに追加された特徴は、自動化によるループに、エンドユーザーを巻き込むことが可能な点だ。エンドユーザーに対して、問題と解決方法を通知することも可能であり、「承認」のクリックによる自動化された解決も可能だ。ユーザーがメッセージを無視する場合や、見逃してしまった場合には、一定の時間が経過した後に、自動的にタスクを「承認」するよう、デフォルトで設定されている。

要約すると、Wing Security の新しいツールは、組織のデータへのアクセスを許可された SaaS アプリを追跡することで、増大する SaaS 使用がもたらすセキュリティおよび IT の課題に対応するものである。

無料版に含まれるものは、迅速で簡単なセルフオンボード・プロセス／使用中 SaaS アプリのためのフレンドリーなダッシュボード・ビュー／危険なアプリに関する通知／コンプライアンスと許可情報／各アプリの評価スコアである。

このツールは、IT 部門が承認した主要 SaaS アプリに API で接続する、非侵入型の方法を採用しており、組織の SaaS アプリの利用状況を、混乱を招くことなくマッピングできる。

2023/01/03 の「セキュリティの強制は行き詰まる：従業員を信頼する登録型アプローチが不可欠」という記事は、とても興味深いものであり、このブログのスタッフの間でも、喧々諤々の議論となりました。要は、企業に所属する一人一人のエンドユーザーを、どこまで信頼するのかというところに、たどり着く議論なのかとも思えてきます。たとえば、OS にインストールされるアプリを監視しても、ブラウザの中で行われていることまでは、目は行き届きません。今日の記事を訳していて、また、同じことを思いました。