近年、クラウド上のソフトウェアをユーザーがインターネット経由で利用できるサービスSaaS「Software as a Service」の導入が様々な企業・法人で進んでいます。自社環境に導入するオンプレミスに比べ、スピーディ且つ最小限のコストでスモールスタートできるなど、多数のメリットがありますが、急激な利用の増加に伴い新たな問題も生まれてきています。

　今回は、2022年4月12日にCloud Security Alliance(CSA) より公開されたSaaS導入に伴うセキュリティに関するレポートを読み解きながら、SaaS利用におけるインシデント発生への備えとして、導入する組織が実施すべき対策案について解説していきます。

　Cloud Security Alliance（CSA）は、2008年12月に結成されて以降、クラウドセキュリティに関する固有の調査と、クラウドセキュリティに関するベストプラクティス及び推奨事項の普及、教育、資格/認証制度の提供、イベント実施等の活動を国際的に行なっている非営利団体です。
　日本では 一般社団法人日本クラウドセキュリティアライアンス（CSAジャパン） が2013年12月に発足し、以後、クラウドセキュリティに関する調査や、ベストプラクティスの普及活動を継続しています。

■CSAのレポートから見える課題

　今回のレポートはCSAによって実施されたオンラインアンケートの結果を分析したものとなっています。主な内容とましては、以下のとおりです。

１．SaaSの設定不備がセキュリティインシデントの原因に

　調査の結果、43%の組織がSaaSの設定不備によるセキュリティインシデントを1件以上経験しており、SaaSの設定不備が原因かもしれないという不確定な要素を含めれば、最大63%の組織がSaaSの設定不備によるセキュリティインシデントを経験している、という結果になりました。

２．SaaSの設定不備の主な原因

　今回のレポートでは、セキュリティインシデント発生の原因として以下の２点が確認されました。

• SaaSのセキュリティ設定にアクセスできる部署が多すぎること（35％）
• SaaSのセキュリティ設定の変更を可視化できないこと（34％）

　更に、一つの組織がアクセスするSaaSの平均は102アプリケーションであり、最大では5,000アプリケーション以上にもなるそうです。膨大な数のSaaSを利用している組織も確認されており、「オンプレ環境に一切のシステムを保有せずすべてSaaSに依存している」という組織も珍しくはありません。

　そして、セキュリティ運用を行う部門からの許可なく、事業部門にて局所的に利用されるSaaS（いわゆるシャドウIT）があるとセキュリティ設定変更の可視化が難しくなり、潜在課題の一つとなります。　

３．SaaSのセキュリティ対策投資の相対的な低下

　過去1年間において、81%の組織がビジネスに不可欠なSaaSアプリケーションへの投資を増加させたことが確認されました。一方で、SaaSセキュリティのためのセキュリティ対策製品に投資した組織は73%、スタッフに投資した組織は55%という結果となっています。

　SaaSへの投資に対する増加率に比べ、セキュリティ対策製品やスタッフに対する投資を行った組織の割合は相対的には少ないため、SaaSの利用範囲の拡大に伴い、既存のセキュリティチームの現状のリソースの中での対応を強いられて業務負担が増えているという懸念が生じています。

４．SaaSセキュリティの見直しの難しさ

　SaaSセキュリティの強化には定期的な設定の見直しが重要ですが、それには当然コストとリソースが必要となります。今回のレポートでは、SaaS環境における設定の見直しについて以下のような結果となっていました。

• 毎月またはそれ以下の頻度でSaaSのセキュリティ設定を見直している組織：46％
• 設定の見直しを全く行っていない組織：5％

　つまり、半数以上の組織が設定の不備があった場合にそれを発見するまでに最低でも1ヶ月以上の日数を要する、ということを意味します。その間は脆弱な環境が残されたままであり、例えば本来公開されるべきではない情報が意図せず公開されるような事象が発生した場合、それを１ヶ月以上放置する恐れがあるということです。

　なお、設定の不備が確認された際の対応時間として、25%の組織では1週間程度の時間を要しています。設定不備が確認されたからといって、それを早期に修正できるとは限らないのです。修正する方法が判明しない、設定変更による影響範囲を特定できない・大き過ぎるなどの理由で容易に設定変更が行えない、といった事態も考えられます。

■レポートの結果を踏まえた対策の重要性

　今回確認された調査結果にてそれぞれ示された課題点のうち、設定不備に関わるものについては、SSPM(SaaS Security Posture Management）と呼ばれるソリューションを用いることで解決が可能です。例えばSSPMでは、SaaSの利用状況を可視化し、ポリシー違反やコンプライアンス違反の観点において設定の不備や是正点を検証し、不備があればその是正を自動的に行うといった、SaaSの利用状況の特定から保護までのプロセスの自動化が可能であるため、SaaS設定不備対策のためのソリューションとしては、SSPMの利用価値は高いものと考えます。

　SSPM(SaaS Security Posture Management）は、SaaSの設定不備を監査できるソリューションです。様々な設定ミスが原因となる情報漏洩を防ぎ、インシデントを未然に防止するためのサービスとなります。

　しかし、予算との兼ね合いなどもありSSPMの利用が難しいという場合も多いかと思います。しかしSaaSの可視化はSSPMでなければ実現できない、ということはありません。可能な範囲から検討項目・対応策を洗い出してみましょう。参考までに、幾つかの対応案を以下に記載いたします。

１．各事業部門のITコストを調査する

　エンタープライズで利用するSaaSの多くは有償版であることを鑑みて、各事業部門でのITコストを調査することで、IT部門では把握していない、隠れたSaaS利用が確認できるかもしれません。

　また、単純に部門横断的にアンケート調査を行うことや、利用状況調査を実施している旨の周知を行い、利用部門に自己申告を行ってもらうという手法も考えられます。

　ただしそのようないわばアナログな手法は、SSPMやCASB(Cloud Access Security Broker)を用いたクラウドサービスの利用状況の精査に比べれば、利用状況を完全に把握するための施策としては網羅性に欠ける可能性があるその点には注意が必要です。

２．組織として利用を許可するSaaSを指定し、それ以外のSaaS利用を禁止する

　ProxyやURLフィルタリング製品にて、会社が許可するSaaS以外へのアクセスを制限することで、利用状況の把握に努めます。また、設定不備によるインシデントが発生しないよう、管理・監視対象とする領域を限定して、定期的な設定チェックを効率的に実施することが可能です。

　一方で、この施策にも懸念点はあります。例えば、ProxyやURLフィルタリング製品でアクセスを制限できなかったSaaSについては、従業員が利用できてしまいます。１の施策と同様に、利用状況を完全に把握するという観点では、網羅性に欠ける施策と言えるでしょう。

３．内部監査の定期実施などによりIT統制する

　国内では上場企業などの大手企業を中心に監査の定期実施が有効に機能している組織も存在します。そのような組織では、外部クラウドサービス利用規程などの利用ルールを策定し、組織として利用可能なSaaSの標準化に取り組んでいるケースもあります。この場合、利用部門からの申請に応じて、対象となるSaaSの審査を行い、社内ポリシー・利用基準を満たせていれば利用を許可し、利用を許可したSaaSのみ、継続的なセキュリティ監視を行うという運用となります。

どのやり方が絶対的な正解、ということはありませんので、各組織において実現可能な対策から実施していくのが良いでしょう。

■まとめ：現状を可視化しよう

　今回は、CSAのレポートから見えたSaaS利用におけるセキュリティの課題とその対応案について紹介をさせていただきました。

　SaaSのみならずセキュリティリスク全般において共通して言えることですが、まず自組織が特定・把握できていない情報資産については、脅威とリスクの想定が行えないため、リスク対応策を検討することはできません。

　そのため、SaaSの設定不備をテーマとして考えた場合、まず取り組むべきは、SaaSの利用状況を可視化し、特定・把握することです。利用状況を把握することで、初めて脅威の想定やリスクの洗い出しが行えるようになり、設定不備のリスクやサプライチェーンリスクなど、他のリスクを考慮することも可能となります。

　「クラウド利用が増えているが、セキュリティ面が気になる。」「対策を行いたいが、そもそも何をどこからどのように取り組めば良いかわからない。」そのようなお困りごとについて、弊社では課題解決のご支援をしております。どうぞお気軽にご相談ください。

※本記事は、株式会社セキュアベース様からご提供いただいた2022年4月19日付のレポート
　『SaaSのセキュリティインシデントの63%は設定ミスによる可能性』をもとに当社で再構成したものです。