近年、多くの組織においてSaaSの導入が進む中、SaaSの設定ミスによるセキュリティインシデントは後を絶ちません。本ブログでは、これまでのSaaSのセキュリティ管理における課題と、今後講じるべき施策、そしてその施策を推進する上でSSPM(SaaS Security Posture Management)が担う役割についてまとめます。
はじめに
SaaSは、IaaSやPaaSと比較して、利用者がコントロールできる範囲は限定されていますが、以下のようにSaaS利用者が全ての管理責任から解放されるわけではありません。
責任共有モデルによる責任の分類例
取引先とのコラボレーションを実現するための機能や、顧客とのコミュニケーション向上のための機能が提供されているSaaSの多くは、外部からのアクセスや外部への情報公開をSaaS利用者によって容易にコントロールすることができるようになっています。
皆さんは、自組織が採用しているSaaSについて、セキュリティリスクを配慮し適切に利用されていることをどのように管理していますか。
これまでのSaaSセキュリティ管理
SaaSが安全な状態で利用されているか否かを評価する上では、「クラウド事業者(以下、SaaSプロバイダー)の責任範囲に関する対策状況」と「SaaS利用者*の責任範囲に関する対策状況」の確認が必要です。
*本ブログではSaaSの管理者を示します
これらを確認するために、これまで多くの組織が実施してきた対応としては、自組織で作成した評価項目に基づく手動のリスク評価だと思います。自組織が遵守を目指すセキュリティ基準やガイドライン、ベストプラクティス等を参照しながら、組織のセキュリティ担当者が主体となり、評価項目を準備。あらゆるSaaSをある程度カバーできる共通の評価項目、あるいは特定のSaaSに限って当該SaaSに特化した評価項目を用いて、SaaSプロバイダーやSaaS利用者へヒアリングを行い、結果を評価。実施するタイミングは、SaaSの利用開始前や年次で1回といったところでしょうか。
このような中、近年、国内外問わず多くの組織が利用するSaaSにおいて、設定ミスによるインシデントが発生しています。
SaaSの設定ミスによるインシデント事例
SaaS |
インシデントの概要 |
某タスク管理ツール |
ツール内の情報公開範囲に関する設定を誤り、サービス内で管理している情報が、不特定多数から閲覧可能な状態になった。 |
某ファイル共有ツール |
ファイルやフォルダの共有リンクのアクセス許可範囲に対し適切な制限を掛けていなかったため、ユーザが新しく作成するリンクが不特定多数に対して公開された状態になった。 |
某営業・顧客関連管理ツール |
仕様変更によってアクセス制御に関する既存の設定不備が表面化し、不適切なユーザがサービス内のデータにアクセスできる状態になった。 |
従来型のSaaSセキュリティ管理における課題と改善策
SaaSの設定ミスによるインシデントはなぜ発生するのでしょうか。
SaaSの安全性を脅かす要因
SaaSの安全性を脅かす状況にしてしまう要因は、大きく以下の2つに分類できます。
- SaaS利用者によるもの:意図的な設定変更や設定不備の放置 等
- SaaSプロバイダーによるもの:リリースされた機能の不具合や仕様変更 等
前者は、SaaSが提供するセキュリティ機能、例えば厳格なパスワードポリシーや多要素認証を適切に使用していないことにより、悪意のある第三者にアカウントが侵害されるといった事案も含まれます。
後者は、SaaSプロバイダーに抑止してもらいたいところではあります。しかしながら、提供中の機能がリスクのある設定状態であることや、第三者に悪用されるリスクが生じていること等が後日明らかになり、その是正がSaaS利用者に委ねられることは、しばしば起こります。
両者が複合的に絡み合いインシデントにつながるケースもありますが、両者の共通点として注視すべきは、SaaS利用者の意図に関わらず”随時”リスクが顕在化しているところです。
この状況を踏まえると、今後SaaSの利用拡大が見込まれる組織においては、これまでのやり方、特に「SaaS利用者の責任範囲に関する対策状況」を評価する手法は、見直しの時期を迎えているのではないかと筆者は考えます。
従来型のSaaSセキュリティ管理の課題
これまでの「SaaS利用者の責任範囲に関する対策状況」を管理する手法を「従来型のSaaSセキュリティ管理」とすると、この手法には次のような課題があります。
- SaaSごとに、設定レベルまで踏み込んだ評価項目が整備できていない
- 評価頻度が低く、随時顕在化するSaaSのリスク検知に時間を要す
- SaaSの管理機能上ではセキュリティ設定が散在・随時変化し、是正に時間を要す
これらの課題に対し、従来型のSaaSセキュリティ管理の延長で改善を図ろうとすることは、セキュリティ担当者にとっても、SaaS利用者にとっても、大きな負担であることは明らかです。仮に統制がしっかりとれた組織であったとしても、管理対象SaaSの種類が増えるにつれて負担増大が見込まれます。
またSaaSのセキュリティ管理の在り方を検討する上では、「ビジネス部門・コーポレート部門問わず、あらゆる部門がSaaS利用者になり得る」、「IT・セキュリティリテラシーが高くない従業員が、SaaS利用者にもなり得る」といった、SaaS特有の事情も加味する必要があります。
SaaSのセキュリティ管理の適正化を図るための施策
こうした従来型のセキュリティ管理における課題とSaaS特有の事情を踏まえると、講じるべき施策は以下であるといえます。
- SaaSごとの評価項目の整備とその鮮度を維持するための枠組み整備
- 評価頻度の向上
- SaaSごとのリスク検知時における対応フローの整理
- SaaS利用者との円滑なコミュニケーションパスの整備
- SaaS利用者のセキュリティ意識・リテラシーの向上のための教育
前述のとおり、これを従来の手法の延長上で改善を試みようとすることには、SaaSをとりまく関係者にとって負担が増大する懸念があります。この懸念を抑え、改善を支援するソリューションとして近年注目されているのがSSPM(SaaS Security Posture Management)です。
SSPMが担う役割
SaaSのセキュリティ管理の適正化を推進する上で、SSPMが担う主な役割は以下です。
SaaSごとの評価項目の整備と鮮度維持
SSPMでは、SaaSに関わる脅威動向情報を収集しているSSPMプロバイダーによって、セキュリティに関わる設定に紐づく評価項目がSaaSごとに提供されます。またその情報は随時更新されます。
リアルタイムな情報をもとに、評価頻度を向上
SSPMはAPIを介して、評価対象のSaaSから評価項目に紐づく設定の値を直接かつ自動的に取得することができます。リアルタイムな情報をもとに、SaaS利用者やセキュリティ担当者への負担なく、いつでも任意のタイミングで安全性の評価を実施することができます。
SaaSごとの評価項目整備とリアルタイムチェック
検知した設定ミスへ迅速に対応するための情報提供
SSPMの評価結果には、設定に関する詳細情報をはじめ、重要度や修正方法等、リスク検知時の対応に必要な情報が提供されます。セキュリティ担当者やSaaS利用者は、この情報を基に問題への対処にあたることができるため、各設定の調査に要する時間を短縮することができます。
SSPMの画面のイメージ
出所:「Adaptive Shield」の管理画面をもとにNRIセキュアにて作成
また、検知したリスクをSIEMやチケット管理システムといった3rdパーティの製品と連携することで、自組織の運用監視スキームに、是正のための対応を組み込むこともできます。
SSPMとSIEMやチケット管理システムの連携も可能
関係者と円滑なコミュニケーションを実現するための機能提供
セキュリティ担当者はSSPMの画面を介して、評価結果をSaaS利用者と共有することができます。これによりSaaS利用者との是正に向けた協議をスムーズに進めることができるようになります。
教育に役立つ脅威動向情報の提供
SSPMの管理者は、随時追加される評価項目の情報や、SSPMプロバイダーから提供される各種アナウンスを通じて、SaaSに関する脅威動向情報を入手することができます。この情報を活用して、注意喚起を実施したり、教育コンテンツを整備・展開したりすることで、SaaS利用者のリテラシー向上を図ることができます。SSPMの脅威動向情報を活用し、従業員のSaaSセキュリティリテラシーを向上
おわりに
「SSPMの導入≒SaaSのセキュリティ管理が万事整う」というわけではありません。冒頭に挙げた「SaaSプロバイダーの責任範囲に関する対策状況」をSSPMで評価することはできませんし、検知したリスクに対する、対応要否の判断基準の整備や是正フローの整備、教育等は、今後も、組織のセキュリティ担当者が主体的にコーディネートすべき事項となります。
しかしながら、「SaaS利用者の責任範囲に関する対策状況」の確認手法をSSPMというプラットフォームを活用して見直すアプローチは、組織全体のSaaSのセキュリティレベルを効率的に向上させるためにも、セキュリティ担当者の負担を軽減するためにも、有効な施策であると筆者は考えます。
便利なSaaSが次々と世にリリースされ、あらゆる部門があらゆるSaaSを戦略的に使いこなしながらビジネスを加速させている時代において、セキュリティ管理上の課題がその潮流に乗るための足枷にならぬよう、SaaSなりのセキュリティ管理を検討・推進する際に、このブログがその一助になれば幸いです。
NRIセキュアでは、SaaSのセキュリティ管理を支援するSSPMソリューションを提供しています。
もしご興味をお持ちいだけましたら、お気軽に弊社までご相談ください。
多様なSaaSの設定を一元的かつ継続的に監視し、設定不備への対処を迅速化「Adaptive Shield」