SaaSのセキュリティ対策は、ユーザーが責任を負う範囲内にある「データ」の保護を中心に考えます。ただ、SaaSを利用するためには社内のネットワークを出て、インターネットに接続することになります。このため、ネットワークにおけるセキュリティ対策も講じる必要があります。
インターネット環境さえあれば利用できるSaaSは、料金体系もリーズナブルなものが多いです。初期費用が不要で、使った分だけ利用料を支払えば良いものが多いため、利便性が高く、低コストで利用できます。
こうしたメリットから、業務での利用が進んでいます。業務に利用する以上、プライベートでの利用以上に情報セキュリティ対策には注力したいもの。
本コラムでは、SaaSを利用する際に知っておいていただきたいセキュリティリスクと、講じられる対策をご紹介いたします。
SaaSのセキュリティとは
SaaSのセキュリティを考えた時に知っておきたいのが、SaaSを利用する際にユーザー側が責任を負う範囲とベンダー側が責任を負う範囲の境界です。
クラウドの主な利用形態として、SaaSのほかにPaaS、IaaSがあり、ユーザーとベンダーとの責任範囲がそれぞれ異なります。ユーザーの責任範囲は、SaaSではデータのみ、PaaSはデータとアプリケーション、IaaSはこれらに加えてミドルウェアやコンテナまでが対象となります。
改めて、SaaSの利用者が責任を負う範囲は「データ」のみであり、データを保護するためのセキュリティ対策を行えば良いことになります。SaaSへアクセスした後のネットワークやOS、ミドルウェア、アプリケーション、ハードウェアは、SaaSを提供するベンダー側が責任を負います。
ただし、冒頭でもお伝えしたように、SaaSを利用するためには、社内ネットワークを出てインターネットに接続する必要があります。このため、SaaSへアクセスするまでのネットワークへのセキュリティ対策にも力を入れる必要があります。また、従業員や元従業員がSaaS経由で意図的に情報を漏えいさせる内部不正の可能性もあるため、ID/パスワード管理の徹底や情報セキュリティ教育といった部分への対策も求められます。
これまで、社内にハードウェアもソフトウェアも所有するオンプレミス環境に比べてSaaSなどのクラウド環境はセキュリティ面で劣るといわれてきました。しかし、世界的にクラウドの業務利用が進む中、クラウド事業者側でもユーザーに選ばれるサービスとなるよう、品質を上げるべくセキュリティ対策にも投資しています。その結果、クラウドもオンプレミスと遜色のないセキュアな環境が整ってきています。
SaaSを利用する際のセキュリティリスク
SaaSを利用する際に注意すべきセキュリティリスクは大きく以下の3つが挙げられます。
部外者のサイバー攻撃による情報漏えい
まずは、社外のサイバー犯罪者による攻撃に警戒しなければなりません。
第一段階として、マルウェア感染や従業員のミスによって正規のID/パスワードが不正に入手されてしまい、なりすましによる不正アクセスによってSaaS上に保存してある重要データを窃取され、情報漏えいにつながる恐れがあります。不正アクセスの要因には、SaaS上の脆弱性が悪用されるケースもあります。また、漏えいだけでなく、意図的にデータを削除されて利用できなくなる可能性もあります。
管理者側で従業員に利用を許可したSaaS以外に、従業員が勝手に業務にSaaSを利用するシャドーITが存在する場合には、それが悪意ある提供者のサービスだったり、セキュリティ対策が十分ではなかったりする可能性もあり、同様に情報漏えいのリスクにつながります。
内部不正による情報漏えい
従業員や元従業員の内部不正によるインシデント事例も増加しています。 退職した従業員のID/パスワードを削除せずに放置していると、元従業員がこれを悪用してデータを持ち出す可能性があります。 また、現役の従業員が自分のID/パスワード、もしくは、何らかの方法で入手した管理者権限のID/パスワードで個人情報や機密情報にアクセスし、漏えいさせる可能性があります。漏えいだけでなく、データを消失させるケースもあるでしょう。
こうした方法は、正規ルートでのアクセスであるため、管理者が不正に気づきにくいという特徴があります。 また、意図的な漏えいやデータ消失だけでなく、不注意によって意図せず漏えい・データ消失が起きてしまうことも防がなくてはなりません。
システム障害などによるデータ消失
もう一つ、クラウド側で起きたシステム障害によって重要データが消失してしまい、業務に利用できなくなる恐れもあります。 システム障害の原因がマルウェアやハッキングによるサイバー攻撃である場合は、情報漏えいの可能性もあります。
SaaSを利用する際にできるセキュリティ対策
上記のようなセキュリティリスクを排除するために、講じておきたいセキュリティ対策が、下記の3点です。
ID/パスワード管理の徹底
「内部不正による情報漏えい」でもお伝えしたように、利用されていない退職者などのID/パスワードが放置されていると、悪用される恐れがあります。しかも、正規のID/パスワードであることから、悪用されている事実になかなか気づくことができません。
従業員には、推測されにくいID/パスワードを設定させ、管理者側ではID/パスワードの管理を徹底しましょう。IDの登録から変更、休止、有効化、抹消までのライフサイクルを適切に管理する必要があり、これを効率化してくれるサービス「IDaaS」も提供されているため、利用を検討してみると良いでしょう。
IDのライフサイクル管理について詳しくは、こちらの記事をご覧ください。
【関連記事】
IDのライフサイクル管理の業務負担を軽減するには
統合型セキュリティサービスの導入
いくらSaaS利用におけるユーザーの責任範囲がデータのみだからといっても、ネットワーク監視やシャドーITの制御、アクセス制御など、対策を取らなければならない情報セキュリティ分野は広く、これらのセキュリティ製品を一つひとつ導入していては金銭コストも運用の手間もかさみます。
そこで、ZTNA(Zero Trust Network Access)やCASB(Cloud Access Security Broker)、SWG(Secure Web Gateway)などのセキュリティ製品が一つにまとまった統合型セキュリティを利用することで、金銭コストと運用の手間を抑えながらセキュアな環境を実現できます。特に、クラウドで提供されるセキュリティサービスであれば、長期的に見た際の運用コストを抑えられるでしょう。
従業員への情報セキュリティ教育
従業員のミスによる情報漏えいを防止するためには、従業員一人ひとりの情報セキュリティに対する意識を高める必要があります。情報セキュリティ研修や訓練などを通して教育しましょう。自社のみでの対応が困難な場合は、情報セキュリティ教育を提供しているサービスを活用すると良いでしょう。
研修の中で自社が堅牢なセキュリティ体制を構築していることをアピールできれば、内部不正の抑制にもつながります。その点でも、高度な統合型セキュリティサービスの導入は有効だといえます。
また、セキュリティ対策ではありませんが、データが消失してしまった場合に備えてバックアップを取得することも大切です。
まとめ
業務利用の裾野が広がっているSaaSのセキュリティ対策は、ユーザー側には責任範囲の「データ」を中心に、アクセス制御やネットワークセキュリティ、シャドーITの把握、従業員の情報セキュリティへの意識向上などが求められます。
こうした複数のセキュリティ製品をそれぞれ導入するとなれば、製品の選定も大変ですし、導入にかかる費用やその後の運用、メンテナンスなどにも手間がかかります。 そこで、複数のセキュリティ対策を統合し、一つのセキュリティサービスとして提供されているものを導入するのがおすすめです。
伊藤忠テクノソリューションズでは、統合型セキュリティサービスとして「Netskope」と「Lookout」の2つのソリューションの導入支援を行っております。
「Netskope」はSASE(Secure Access Service Edge)と呼ばれ、クラウド環境を中心にオンプレミス環境の情報セキュリティ対策もカバーできるセキュリティソリューションです。
「Netskope」の詳細については、こちらのページをご覧ください。
「Lookout」には、MES(Lookout Mobile Endpoint Security)、CASB(Cloud Access Security Broker)、ZTNA(Zero Trust Network Access)、SWG(Secure Web Gateway)といった機能がまとまっており、これ一つでSaaSをセキュアに利用することができます。
「Lookout」の詳細については、こちらのページをご覧ください。
