SSPMの効果的な活用法｜SaaSにはSaaSなりのセキュリティ管理を

近年、多くの組織においてSaaSの導入が進む中、SaaSの設定ミスによるセキュリティインシデントは後を絶ちません。本ブログでは、これまでのSaaSのセキュリティ管理における課題と、今後講じるべき施策、そしてその施策を推進する上でSSPM（SaaS Security Posture Management）が担う役割についてまとめます。

はじめに

SaaSは、IaaSやPaaSと比較して、利用者がコントロールできる範囲は限定されていますが、以下のようにSaaS利用者が全ての管理責任から解放されるわけではありません。

責任共有モデルによる責任の分類例

取引先とのコラボレーションを実現するための機能や、顧客とのコミュニケーション向上のための機能が提供されているSaaSの多くは、外部からのアクセスや外部への情報公開をSaaS利用者によって容易にコントロールすることができるようになっています。

皆さんは、自組織が採用しているSaaSについて、セキュリティリスクを配慮し適切に利用されていることをどのように管理していますか。

これまでのSaaSセキュリティ管理

SaaSが安全な状態で利用されているか否かを評価する上では、「クラウド事業者（以下、SaaSプロバイダー）の責任範囲に関する対策状況」と「SaaS利用者*の責任範囲に関する対策状況」の確認が必要です。

*本ブログではSaaSの管理者を示します

これらを確認するために、これまで多くの組織が実施してきた対応としては、自組織で作成した評価項目に基づく手動のリスク評価だと思います。自組織が遵守を目指すセキュリティ基準やガイドライン、ベストプラクティス等を参照しながら、組織のセキュリティ担当者が主体となり、評価項目を準備。あらゆるSaaSをある程度カバーできる共通の評価項目、あるいは特定のSaaSに限って当該SaaSに特化した評価項目を用いて、SaaSプロバイダーやSaaS利用者へヒアリングを行い、結果を評価。実施するタイミングは、SaaSの利用開始前や年次で1回といったところでしょうか。

このような中、近年、国内外問わず多くの組織が利用するSaaSにおいて、設定ミスによるインシデントが発生しています。

SaaSの設定ミスによるインシデント事例

従来型のSaaSセキュリティ管理における課題と改善策

SaaSの設定ミスによるインシデントはなぜ発生するのでしょうか。

SaaSの安全性を脅かす要因

SaaSの安全性を脅かす状況にしてしまう要因は、大きく以下の2つに分類できます。

1. SaaS利用者によるもの：意図的な設定変更や設定不備の放置 等
2. SaaSプロバイダーによるもの：リリースされた機能の不具合や仕様変更 等

前者は、SaaSが提供するセキュリティ機能、例えば厳格なパスワードポリシーや多要素認証を適切に使用していないことにより、悪意のある第三者にアカウントが侵害されるといった事案も含まれます。

後者は、SaaSプロバイダーに抑止してもらいたいところではあります。しかしながら、提供中の機能がリスクのある設定状態であることや、第三者に悪用されるリスクが生じていること等が後日明らかになり、その是正がSaaS利用者に委ねられることは、しばしば起こります。

両者が複合的に絡み合いインシデントにつながるケースもありますが、両者の共通点として注視すべきは、SaaS利用者の意図に関わらず”随時”リスクが顕在化しているところです。

この状況を踏まえると、今後SaaSの利用拡大が見込まれる組織においては、これまでのやり方、特に「SaaS利用者の責任範囲に関する対策状況」を評価する手法は、見直しの時期を迎えているのではないかと筆者は考えます。

従来型のSaaSセキュリティ管理の課題

これまでの「SaaS利用者の責任範囲に関する対策状況」を管理する手法を「従来型のSaaSセキュリティ管理」とすると、この手法には次のような課題があります。

1. SaaSごとに、設定レベルまで踏み込んだ評価項目が整備できていない
2. 評価頻度が低く、随時顕在化するSaaSのリスク検知に時間を要す
3. SaaSの管理機能上ではセキュリティ設定が散在・随時変化し、是正に時間を要す

これらの課題に対し、従来型のSaaSセキュリティ管理の延長で改善を図ろうとすることは、セキュリティ担当者にとっても、SaaS利用者にとっても、大きな負担であることは明らかです。仮に統制がしっかりとれた組織であったとしても、管理対象SaaSの種類が増えるにつれて負担増大が見込まれます。

SaaSのセキュリティ管理の適正化を図るための施策

こうした従来型のセキュリティ管理における課題とSaaS特有の事情を踏まえると、講じるべき施策は以下であるといえます。

1. SaaSごとの評価項目の整備とその鮮度を維持するための枠組み整備
2. 評価頻度の向上
3. SaaSごとのリスク検知時における対応フローの整理
4. SaaS利用者との円滑なコミュニケーションパスの整備
5. SaaS利用者のセキュリティ意識・リテラシーの向上のための教育

前述のとおり、これを従来の手法の延長上で改善を試みようとすることには、SaaSをとりまく関係者にとって負担が増大する懸念があります。この懸念を抑え、改善を支援するソリューションとして近年注目されているのがSSPM（SaaS Security Posture Management）です。

SSPMが担う役割

SaaSのセキュリティ管理の適正化を推進する上で、SSPMが担う主な役割は以下です。

SaaSごとの評価項目の整備と鮮度維持

SSPMでは、SaaSに関わる脅威動向情報を収集しているSSPMプロバイダーによって、セキュリティに関わる設定に紐づく評価項目がSaaSごとに提供されます。またその情報は随時更新されます。

リアルタイムな情報をもとに、評価頻度を向上

SSPMはAPIを介して、評価対象のSaaSから評価項目に紐づく設定の値を直接かつ自動的に取得することができます。リアルタイムな情報をもとに、SaaS利用者やセキュリティ担当者への負担なく、いつでも任意のタイミングで安全性の評価を実施することができます。

SaaSごとの評価項目整備とリアルタイムチェック

検知した設定ミスへ迅速に対応するための情報提供

SSPMの評価結果には、設定に関する詳細情報をはじめ、重要度や修正方法等、リスク検知時の対応に必要な情報が提供されます。セキュリティ担当者やSaaS利用者は、この情報を基に問題への対処にあたることができるため、各設定の調査に要する時間を短縮することができます。

SSPMの画面のイメージ

出所：「Adaptive Shield」の管理画面をもとにNRIセキュアにて作成

また、検知したリスクをSIEMやチケット管理システムといった3rdパーティの製品と連携することで、自組織の運用監視スキームに、是正のための対応を組み込むこともできます。

SSPMとSIEMやチケット管理システムの連携も可能

関係者と円滑なコミュニケーションを実現するための機能提供

セキュリティ担当者はSSPMの画面を介して、評価結果をSaaS利用者と共有することができます。これによりSaaS利用者との是正に向けた協議をスムーズに進めることができるようになります。

教育に役立つ脅威動向情報の提供

SSPMの脅威動向情報を活用し、従業員のSaaSセキュリティリテラシーを向上

おわりに

「SSPMの導入≒SaaSのセキュリティ管理が万事整う」というわけではありません。冒頭に挙げた「SaaSプロバイダーの責任範囲に関する対策状況」をSSPMで評価することはできませんし、検知したリスクに対する、対応要否の判断基準の整備や是正フローの整備、教育等は、今後も、組織のセキュリティ担当者が主体的にコーディネートすべき事項となります。

しかしながら、「SaaS利用者の責任範囲に関する対策状況」の確認手法をSSPMというプラットフォームを活用して見直すアプローチは、組織全体のSaaSのセキュリティレベルを効率的に向上させるためにも、セキュリティ担当者の負担を軽減するためにも、有効な施策であると筆者は考えます。

便利なSaaSが次々と世にリリースされ、あらゆる部門があらゆるSaaSを戦略的に使いこなしながらビジネスを加速させている時代において、セキュリティ管理上の課題がその潮流に乗るための足枷にならぬよう、SaaSなりのセキュリティ管理を検討・推進する際に、このブログがその一助になれば幸いです。

NRIセキュアでは、SaaSのセキュリティ管理を支援するSSPMソリューションを提供しています。

もしご興味をお持ちいだけましたら、お気軽に弊社までご相談ください。

多様なSaaSの設定を一元的かつ継続的に監視し、設定不備への対処を迅速化「Adaptive Shield」