Shocking Findings from the 2023 Third-Party App Access Report
2023/02/27 The Hacker News — SaaS である M365 と Google Workspace を使用する 10,000人のユーザーを抱える組織では、平均で 4,371 以上の接続アプリが追加されている。世界中の組織 で、サードパーティ製 SaaS-to-SaaS アプリのインストールが止まらなくなってきた。効率や生産性を高めるために、従業員たちが追加のアプリを必要とするとき、ほとんど考えることなくインストールするのが一般的になっている。大半の従業員は、コンテンツの読取/更新/作成/削除などのスコープを必要とする、この SaaS-to-SaaS 接続により、組織の攻撃対象領域が大幅に拡大することに気づいていない。
一般的に、サードパーティ・アプリの接続はセキュリティ・チームの目の届かないところで行われ、それによりもたらされるリスク・レベルを、理解するための検証も行われていない。
Adaptive Shield の最新レポート Uncovering the Risks & Realities of Third-Party Connected Apps は、このトピックに関するデータを掘り下げるものだ。このレポートでは、組織が保有する SaaS-to-SaaS アプリの平均数と、それらがもたらすリスクのレベルについて検証している。ここでは、調査結果の Top-5 を紹介していく。
調査結果_1:接続されたアプリは奥が深い
このレポートでは、Google Workspace と Microsoft 365 (M365) にフォーカスし、この2つのアプリケーションと統合されている、サードパーティ・アプリの範囲を明確に描き出している。
M365 を使用する SaaS ユーザー 10,000人の企業では、平均して 2,033 のアプリが、このスイート・アプリケーションに接続されている。Google Workspace を使用している同規模の企業では、その3倍以上となる、平均 6,710 のアプリが接続されている。
小規模な企業も例外ではありません。M365 を使用している企業は、1人のユーザーあたり平均で 0.2本のアプリが使用されているのに対して、Google Workspace を使用している企業では、平均で 0.6本のアプリケーションが使用されているとのことだ。
調査結果_2:従業員が増えればアプリ数も増える
通常の成長曲線とは対照的に、ユーザーあたりのアプリケーション数は、ユーザー数が限界に達した後も、1人あたりのアプリ数の伸びが留まらないことが、この調査では示されている。むしろ、アプリ数はユーザー数につれて、増え続けているる。
以下の図に示すように、Google Workspace を使用する 10,000〜20,000 の従業員を抱える企業では、接続アプリケーション数の平均が約 14,000個本に達している。このように増え続けるアプリは、セキュリティチームにとって衝撃的なものであり、手作業で大量のアプリを発見/管理することはほぼ不可能だ。
For the full 2023 SaaS-to-SaaS Access Report, click here.
調査結果_3:SaaS-to-SaaS アプリのリスクは高い
サードパーティ・アプリがコア SaaS アプリと統合する場合には、OAuth プロセスを用いてアクセスを取得することになる。このプロセスの一環として、アプリは特定のスコープを要求し、多くの権限がアプリに渡される。
高リスクのスコープについて説明すると、M365 接続アプリの 15% は、ユーザーのアクセス範囲にある、すべてのファイルを削除する権限を要求してい。Google Workspace 接続アプリでは、さらに恐ろしいことに、高リスクのスコープの 40% がGoogle Drive の全ファイルを削除する権限を受け取っている。
以下の図示すのは、サードパーティ・アプリが要求する、高リスクのアクセス許可である。
Mail Merge の許可タブに示されているように、このアプリは、すべての Google Docs/Slides/Sheets ファイルの閲覧/編集/作成/削除の許可に加えて、すべての Google Drive ファイルの削除も明示的に要求している。データの管理に慣れているセキュリティ・チームにとって、このような権限設定は不安なものとなる。
数多くのアプリが、ソフトウェア開発においてセキュリティが優先されない可能性のある、開発者たちにより作成されていることを考慮する必要がある。つまり、これらの権限の悪用に成功した驚異アクターたちは、企業のデータに不正アクセスしたのちに、それらを窃取/暗号化するために必要な、すべての権限を手にすることになる。脅威アクターによる侵害が生じなくても、ソフトウェアにバグがあれば、企業データに悲惨な結果をもたらされる可能性がある。
調査結果_4:接続されたアプリも途方もない広さを持つ
このレポートでは、M365 と Google Workspace という、二大 SaaS アプリを深く掘り下げているが、Salesforce や Slack に関する調査結果も公表している。Salesforce のケースでは、1インスタンスあたり平均で 41 の統合アプリが存在している。この結果は注目に値する。
Salesforce は、小さなサブセット (部門) で利用されるのが一般である。その点では、人事/開発/財務の各チームが利用する Workday/Github/ServiceNow と似てい る。従業員数 10,000人の一般的な企業では、350 以上の SaaS アプリケーションがスタックに存在し、その多くは上記のアプリのように小規模な部署で使用されているはずだ。
Salesforce が、このようなアプリケーションの典型であると仮定すると、350 のアプリケーションが、それぞれ 40 のアプリケーションと統合されることになる。その方程式に、さらに 14,000 個のサードパーティ・アプリが追加されることになる。
調査結果_5: M365 と Google Workspace の高リスクのアプリ数は同じ
興味深い点は、Google Workspace と比較して、Microsoft に接続する高リスクのアプリ数が多いことである。それらのアプリは 39%の確率で、M365 に対して高リスクのパーミッションを要求するが、Google Workspace アプリの確率は 11% である。現実的な数字で言うと、10,000 人の SaaS ユーザーが M365を使用している企業の、平均的なインストールでは 813個の高リスク・アプリがあり、Google Workspace では738個の高リスク・アプリとなる。
この違いは、アプリの作成プロセスに起因している可能性が高い。Google は、高リスク (Restrictiveと呼ぶ) のパーミッションを要求するアプリに対して、審査を義務付けている。そして、中リスクの権限を要求するものについては、審査プロセスが遥かに容易になる。その一方で Microsoft は、要求されたスコープに対して、重大度のレベル付けを行っていない。この監視の欠如により、M365 に接続するアプリは容易に、高リスク・スコープを要求できるようになっている。
SaaS のセキュリティは、人々の認識よりもはるかに複雑だ
この報告書から得られる全体的な教訓は、SaaS におけるセキュリティ確保が非常に困難であるということだ。セキュリティ・チームは、SaaS スタックに接続されている何千ものアプリを可視化し、リスクの高い接続アプリごとに、コスト・ベネフィット分析を行う必要がある。
Adaptive Shield のような SaaS セキュリティ・ソリューションは、SaaS セキュリティの重要な機能の中でも、接続されたアプリとスコープを確認するために必要な可視性を、セキュリティ・チームに提供するものだ。この種の情報を取得することで、セキュリティ担当者は、アプリケーションのセキュリティ体制を強化し、データの悪用を防ぐことが可能になる。
Google Workspace と Microsoft 365 の周辺に、おびただしい数の SaaS があり、しかも高度な権限が渡されているという、訳していて怖くなってくる話です。[調査結果_3] の画面イメージを眺めてみれば、一目瞭然です。SaaS のセキュリティ関連の記事として、よろしけば以下を、ご参照ください。
2023/01/28:SaaS Shadow IT をゼロにしたい
2022/08/23:SaaS フィッシング:前年比 1,100% の大幅増
2022/05/12:SaaS-to-SaaS:保護すべき対象は?
2021/10/13:SaaS:リスクを分析して対策を講じる
2021/08/30:SaaS 運用とサプライチェーン・リスク
IoT OT Security News 
You must be logged in to post a comment.