Public SaaS Assets Are a Major Risk For Medium, Large Firms
2023/03/01 InfoSecurity — 中堅企業の 81% および大手企業の 78% が、Google Drive/Workspace に暗号化ファイルを保存している。また、61% の組織には、会社が所有の資産を個人のメールで共有する従業員がいる。この調査結果は、DoControl の最新レポート Software-as-a-Service (SaaS) Security Threat Landscape から得られたものであり、機密資産の人手による追跡が、これまで想像されていた以上に複雑になる可能性を示唆している。
このレポートでは、中規模企業が利用する SaaS アプリケーションにおいて、平均で 224,000件近くの資産が外部で共有されている状況の判明している (従業員1人あたり9名の外部関係者に相当)。
DoControl の CEO である Adam Gavish によると、大企業における数字も同様であり、およそ 241件の 4th パーティ・ドメインからの、SaaS 資産へのアクセスが、平均値として生じていることが判明している。
この調査結果について Gavish は、「私たちは皆、生産性とコラボレーションの向上のために SaaS アプリケーションに依存しているが、これらのツールを介して毎日のように入出力される膨大な資産について、ほとんどの人々が考えようとしない」とコメントしている。
DoControl が調査した企業の 67% には、Google Workplace に保存された5年以上も前の資産に、アクセスが可能な従業員が存在するとされる。大企業での利用では、平均で 81件 のサードパーティ・アプリが、Google に統合されていた (そのうちの、平均で 27件はデータ・アクセスが可能であり、9件には過剰な特権を与えられていた)。
Gavish は、「企業は、ビジネス上の取引や契約を結ぶ際にセキュリティを考慮しているが、SaaS のセキュリティ体制の不備によるリスクには、ビジネスの成果を台無しにする可能性が存在する。このレポートは、企業が自社のリスク露出を適切に理解し、それに応じて行動し、SaaS 資産を管理するためにある。つまり、現状の混乱を定量化して、説明することだ」と述べている。
2023/02/27 の「SaaS-to-SaaS 接続のリスク:人々の認識よりも遥かに根深い問題とは?」も、SaaS の危険性を掘り下げる記事であり、メインの SaaS である M365 や Google Workspace から、他の SaaS に付与される権限を問題視するものでした。また、2023/02/01 の「サプライチェーン調査:3rd パーティーから 4th パーティーへの可視化の拡大が不可欠」も、とても興味深い内容となっています。今日の記事の文中にもあるように、生産性とコラボレーションの向上のために SaaS アプリケーションに依存していますが、いろんな意味で見直しが必要になっているようです。
IoT OT Security News 
You must be logged in to post a comment.