最終更新日:2024-03-19
SaaSツール利用に伴う情報漏えいや不正アクセスのリスクを軽減したい。でも、面倒なセキュリティ設定の手間はできるだけ省きたいと考えている、情報システム部門の方へ。SSPMの導入でできることやメリット、セキュリティ対策におすすめのツールを紹介します。
SSPM(SaaS Security Posture Management)とは、SaaSの設定をチェック・評価し、セキュリティリスクを継続的に管理するセキュリティソリューションです。
セキュリティ設定の不備や「退職者のアカウントが残っていないか」「不審なアクセスがないか」などを定期的に監視。問題があった場合、即座に検知・通知を行うことで不正アクセスを防止。また、法規制や業界基準に準拠しているかもチェックできるため、コンプライアンスリスクの回避も可能です。
リモートワークの浸透やクラウドへのシフトに伴い、SaaSにアクセスする機会が増えています。しかし、アプリケーション利用時のセキュリティ対策が施されていないケースもあり、多くの企業にとって大きな課題の1つです。実際、アクセス制限などの細かい設定を把握できていなかったために、不正アクセスや情報漏えいが起きてしまったという事例が複数あります。
前述した課題はSSPMの活用で解決できます。SSPMを導入すれば、SaaSの仕様変更や機能アップデート、リスク監視などに自動対応できるので、設定不備によるセキュリティリスクを低減できます。SSPMの主な機能を以下の表にまとめました。
| 情報の収集・一元管理 | 様々なSaaSについて、多要素認証の導入状況、パスワード管理、データ漏えいの保護といったセキュリティ設定の情報を集約して一元管理。仕様変更などを一括で行うことができる。 |
|---|---|
| リスクの検出・アラート | 不審な挙動、過剰な権限付与、不要なユーザーの存在など、設定におけるセキュリティリスクを常時監視し、発見次第アラート。素早く対応することで、インシデントを未然防止できる。 |
| リスク評価・スコアリング | 使用アプリ全体のリスクプロファイルを実施。リスクの有無だけではなく、スコアリングでリスクの程度も可視化。対応の優先順位づけも可能に。 |
| コンプライアンス管理の評価 | 分析データをもとにコンプライアンス違反の傾向を特定し、起こりうるリスクの予測・対策を行えるようになる。 |
CSPM(Cloud Security Posture Management)はセキュリティリスクを可視化するという目的においてはSSPMと同様ですが、評価する対象が異なります。SSPMはSaaSの設定が評価対象ですが、CSPMはクラウドインフラストラクチャー全体のリスクを監視対象になります。たとえば、IaaS・PaaSにおけるネットワークやストレージ構成、特権アカウントの権限設定などが含まれます。
SSPM製品をお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
SSPMが対象とするセキュリティリスクは、「セキュリティ設定」「アカウント管理」によるリスクです。主に以下のようなケースが挙げられます。
SaaSではユーザーが自社でサーバーを所有・管理する必要がないため、セキュリティ事故の責任の所在はどこにあるのかという問題があります。サービスによってそれぞれの責任範囲が異なる場合もあるので、一概には言えませんが、一般的な結論から言うと、運用上のセキュリティに関する責任はユーザー企業にあります。
SaaS自体のセキュリティの盲点を突かれたのだとすれば、クラウド事業者が責任を問われる可能性もありますが、セキュリティ設定やアカウント管理に関してはユーザー企業に多くの権限が委ねられている以上、そこから発生する不正アクセスや情報漏えいリスクに関してはクラウド事業者に責任を帰するのは困難と言えます。SaaSを利用する際は万が一の事態も考慮して、しっかりと設定や管理を行うように心がけましょう。
SSPMの導入メリットとしては以下の3点が挙げられます。
SSPMでは、異なる複数のSaaSにとシームレスに連携して、それぞれのセキュリティ設定やアクティビティを一元管理することができます。また、SaaSの追加や変更も一括で行うことが可能で、アプリごとに設定する手間もかかりません。設定の不備も自動で検出できるため、運用業務の効率化と負担軽減につながります。
SSPMは複数のSaaSのセキュリティ設定やポリシーの情報をダッシュボードで一元管理できます。各サービスにログインする必要なく、素早く把握できるため、脅威となるリスクを早期に洗い出すことができます。また、定期的な設定不備の監視・分析によって潜在的なリスクや脆弱性も特定しやすくなるため、早期に有効な対策を講じられます。
SSPMは最新の法規制や業界基準に適合するためのセキュリティポリシーを簡単に取り入れることができます。自ら調査してチェックする必要なく、ボタン一つでコンプライアンス違反にあたる行為がないか監視でき、問題があればアラートで通知されるのですぐに対応が可能です。中にはレポートを自動生成できるサービスもあり、監査やコンプライアンスにかかる手間とコストの負担も軽減できます。
SSPM機能を備えたツールは数多くありますが、「どこまで対応させたいか」という点で最適なタイプは以下のように分けられます。
以下、それぞれのタイプについて「どういった場合に、どういった機能があると便利なのか」わかりやすく紹介していくので、サービス選びの参考にしてください。
SSPM特化型とは、その名の通りSSPM機能に特化した専用ツールです。SaaSのセキュリティリスク監視や検知、設定不備の問題などを重点的に対策したい場合におすすめです。
たとえば、「Adaptive Shield」は、豊富な監査項目によってセキュリティ設定のリスクをチェックできます。「AppOmni」も、アップデートなどSaaSの仕様変更に自動対応し、設定不備や漏れによるインシデント回避が可能です。
SaaS管理ツールとは、SaaS全体の効率的な運営を可能にする、様々な機能を搭載したツールです。中には、シャドーIDやアカウントの消し忘れによる情報漏えいなどを防ぐための機能を備えたものもあり、複数のSaaS利用時のセキュリティ対策やリスク管理はもちろん、アカウントの棚卸しや発行作業などの管理全般を効率化したい場合におすすめです。
たとえば、「ITboard」は複数SaaSのアカウントや各種契約情報を一元管理。利用実態が把握できていないサービスやSaaSを洗い出し、早期に停止することで情報漏えいを防止。コスト節減にも貢献できる。
CASBとは、クラウドの利用を監視し、適切なセキュリティ対策を行うソリューションです。「履歴のないログから個人情報のファイルにアクセスがあった」といった緊急度の高い状況などでは、監視・アラートだけでなく、アクセスそのものをブロックすることもできます。設定ミスだけでなく、悪意あるユーザーの行動を防ぎたいという場合にはおすすめです。
たとえば、「Forcepoint CASB」は、リアルタイム監視や異常検知だけでなく、位置情報を利用したアクセスコントロールなどが可能です。
上記のタイプ分けに沿ってある程度イメージをつかめたら、次は個別に比較・検討してツールを絞り込む番です。検討ポイントとしては以下のような点が挙げられます。
SSPMツールによって、対応できるSaaSは異なります。一般的なSaaSはどのツールも対応しているので心配いりませんが、独自色の強いSaaSを利用している場合はチェックが必要です。また、サービスによっては未登録のSaaSサービスもアドオンで対応できる場合があるので確認しておきましょう。
たとえば、「AppOmni」はアドオン開発のプラットフォームも用意しています。また、「デクセコ」は、マイナーツールや内製ツールも連携できるため、柔軟な対応が可能です。
SSPMによって、セキュリティ監査項目の対応範囲は異なります。具体的には、アクセス権限やデータ共有などの設定状況や、2要素認証の設定状況などの対応・非対応の可否確認が必要です。自社のセキュリティに照らし合わせて、どれくらい反映させられるかをチェックしておきましょう。
たとえば、「Bundle」は自動で「2要素認証が未設定である」「30日間アクセスのないアカウントがある」などのリスクチェックを可能。アラート通知することでセキュリティインシデントを防止できます。
SSPMによっては、リスクのアラート・評価だけでなく、「どうしたらいいか」「どうすべきか」などその後の支援に取り組んでくれるものもあります。そのほか、定期的にアップデートや新機能の追加を行っているソリューションであればより安心です。
たとえば、ネットワンシステムズ社の「SSPMサービス」は監視・検知・分析したセキュリティリスクの結果を、月次レポートにまとめて提供しています。レポートに基づいた報告会も行っているため、継続的な対策検討が可能です。
(出所:Adaptive Shield公式Webサイト)
SaaSの設定状況を継続的に監視し、設定不備への対処を行うSSPM専用ソリューション。セキュリティ設定やコンプライアンス準拠の有無について、継続的にリスクチェックする機能を提供する。Microsoft 365、Salesforceなど100種類以上のSaaSに対応し、設定のセキュリティ監査項目も豊富。
APIと管理者権限の2つのデータ収集方法によって設定情報を取得し、リスクスコアを数値化する。現状を調査するためのSaaS設定監査レポートサービスも受けられるので、気になる場合は導入前に試しに実施してみるのもおすすめ。
(出所:AppOmni公式Webサイト)
SaaSのセキュリティ設定を検知し可視化するSSPMサービス。Microsoft 365、Salesforce、ServiceNow、Zoom、GitHubなど38種類のSaaSに対応。一元的な管理・診断を実現できる。
機能変更やアップデートなどSaaSの仕様変更に自動で追従。許可していないアプリケーションからの不審なアクセスも検知でき、SaaS内部のセキュリティだけでなく外部からのリスクにも対応できる。オプションでアドオン開発も可能。個別に対応したSaaS監視を行える。
(出所:Netskope SSPM公式Webサイト)
SaaS利用における情報漏えいリスクや不正アクセス、マルウェアの感染といった脅威から機密情報を守る、SaaS環境のセキュリティソリューション。CASB、SWG、SSPM、ZTNAなど複数の機能を提供。特にセキュリティの集中管理、SASE・SSE製品に強みを持ち、外部からの評価も高い。
SSPM機能では、対応するSaaSの設定状態を可視化。ルールとプロファイルに従って構成の誤りを検出する。アラートで継続的に評価しつつ、設定改善の提案も可能。
(出所:SSPMサービス公式Webサイト)
米国のPalo Alto Networks社製品を使ったSSPMサービス。90以上のSaaSアプリケーションに対応。存在する脅威や推奨対策、セキュリティガイドラインへの適合状況を可視化できる。重大事象につながる設定ミスの発見遅れや対応漏れを防止するため、定期的にポリシー違反の発生有無を確認。
また、検知したポリシー違反およびセキュリティガイドラインに対する適合状況などを分析した結果を月次レポートで提供。訪問またはWeb会議で、報告対象月のレポートに基づいて報告も行っている。オプションで、ポリシー違反監視のメール通知も実施。
(出所:Bundle公式Webサイト)
SaaSのアカウント発行作業や棚卸し作業を自動化できる、情シス向けのSaaS管理ツール。約200種類のSaaS管理が可能。SaaSアカウントを持つ従業員データベース、部署異動に伴う利用SaaSの変更に自動対応するオートメーション機能など、9つのSaaS管理機能を搭載。
SSPM機能としては、リスクチェック機能を実装しているのが特徴。特権管理者アカウントが複数存在する」「2段階認証設定が未設定」「30日間ログインがないアカウントがある」などセキュリティリスクの高い項目を検出し、アラート通知してくれる。
(出所:マネーフォワード Admina公式Webサイト)
多様なクラウドサービスやSaaSとの連携で、情シスデータを一元管理できるSaaS管理ツール。対応SaaSは240以上。2要素認証などセキュリティ設定の不備や、退職者アカウントのアラート通知などによってリスクを検知・可視化する。
外部コンテンツ共有管理機能で、Googleドライブなど複数のプラットフォームにわたる公開ファイルを監視可能。公開時にはアラートされ、問題のあるファイルは画面上ですぐ共有停止できる。
(出所:ITboard公式Webサイト)
社内SaaS利用の可視化、詳細情報の棚卸しが可能なSaaS管理ツール。各種契約情報の管理、利用者コストの管理のほか、削除漏れ退職者の表示、一次発行者アカウントの検知、シャドーIT検知が可能。管理コストを抑えると同時に、利用実態が把握できていないサービスやデバイスからの情報漏えいを防止。デバイスの貸与状況も可視化でき、返却時のアラート機能も実装しているため返却漏れ防止にもなる。
接続サービス100個までのスタンダードプランと、無制限のプレミアムプランを用意。プレミアムプランではSSO(シングルサインオン)管理も可能。利用人数や業務内容に応じて選択できるようになっている。
(出所:ジョーシス公式Webサイト)
情報システム部門のアナログ業務を自動化し、業務コスト削減とセキュリティ向上を支えるITデバイスとSaaSの統合管理サービス。中小企業から300名以上の大企業まで、それぞれの規模に合ったソリューションを提案。220個以上のアプリに対応しており、SaaS・デバイスの一元管理が可能に。
シャドーITや削除漏れアカウントの検知、従業員ごとのアプリ利用状況や権限設定の異常を把握できる。管理リソースが不足している企業には、キッティングからデバイス・SaaSの台帳更新まで対応するアウトソーシングサービスも提供。
(出所:デクセコ公式Webサイト)
SaaSアカウントの効率化、費用対効果の最大化を目的としたSaaS管理ツール。契約情報・アカウント情報の自動管理・更新によって社内SaaSの利用状況を可視化。ブラウザ拡張機能で簡単にセキュリティリスクを管理でき、現場のSaaS利用を妨げずにシャドーITを把握できるようになる。
柔軟な対応に強みを持ち、自動連携できていないマイナーツールや社内でつくられたツール管理にも対応可能。アンケート機能を利用すれば、社内のメンバーのSaaS登録・契約情報も収集できる。新しく利用を始めたSaaSや使わなくなったSaaSも簡単に把握可能。
(出所:OPTiM サスマネ公式Webサイト)
クラウド・オンプレミスのソフトウェアをまとめて可視化できるSaaS管理サービス。ZoomやSlack、Notionなど多数のSaaSと連携・アカウントデータの自動取得が可能。所属部署や役職、在職有無などの従業員データと、「誰が・いつ・どのツールを使ったか」などの履歴データを紐づけて管理画面上で一覧表示できるため、利用状況がわかりやすい。SaaSアカウントの利用状況や人事異動・体制変更に伴うアカウントの追加・削除などの状況も自動反映されるため、手作業・目視によるデータ入力や更新作業を大幅に削減できる。
シャドーITや未削除の退職者アカウント検知・アラート通知にも対応。情報漏えいなどのセキュリティリスクの未然防止はもちろん、無駄なコストの発生を抑えられるのもうれしい。
(出所:Netskope CASB公式Webサイト)
クラウドアプリケーションの利用状況を可視化・監視・制御するCASBソリューション。アプリ利用の許可状況を問わず、アプリ間の意図しないデータ移動を制御できる。ビジネスメールから個人メールアカウントへの機密コンテンツコピーも阻止。
クラウドアプリのリスクスコアリングも可能。存在する全体的なリスクのレベルを特定し、組織への脅威を軽減。シャドーITの把握、排除が可能になる。リスクの高いアクティビティや、機密性の高いデータの移動に関するユーザー指導などをリアルタイムで通知し、高度なデータ損失保護が可能。また、セキュリティポリシーをリアルタイムで適用し、データの損失と脅威を阻止できる。
(出所:Cygiene公式Webサイト)
クラウドの監視とコントロールを通じて、クラウド活用と従業員セキュリティの両立を可能にするセキュリティソリューション。国内外の様々なSaaSやクラウドサービスと1クリックで連携。SaaS上の監査ログやアクティビティ、アカウント情報を自動収集し、ユーザーアカウントの状態やアクセス状況などを従業員ごとに可視化できる。
収集されたアカウント情報は名寄せされ、行動ログから該当人物を識別することも可能。データソースを横断してユーザー単位でのタイムラインを簡単に切り出せる。データはユーザー単位で最適化されるため、素早いインシデント調査が可能になる。
(出所:Forcepoint CASB公式Webサイト)
クラウドセキュリティ強化およびセキュリティ管理者の生産性向上を可能にするCASBツール。シャドーITの可視化、クラウドアプリケーションのアクセス制御などに対応。位置情報を使用したアクセスコントロールや、機密ファイル共有コントロール機能によって、強固な情報保護が実現できる。
業界の最適基準や各国の規制要件などのベンチマーク情報に基づいて、クラウドアプリケーションのリスクスコアリングも可能。そのほか、機密データをカタログ化・識別するデータ分類、リアルタイムのアクティビティ監視と分析、継続的な自動異常検知などが可能。
SSPMを活用すれば、SaaSの設定を自動で監視・異常検知でき、セキュリティの強化と同時にSaaS管理の効率化にもつながります。SSPMツールは、対応範囲によって以下の3タイプに分けられます。
(1)SSPM特化型
(2)SaaS管理ツール
(3)CASB製品
自社の課題を解決できそうなものがどのタイプに当てはまるかを把握できたら、以下の3つのポイントを押さえて具体的なツールを選定しましょう。
(1)対応SaaSに当てはまっているか
(2)セキュリティポリシーに合っているか
(3)診断後の支援まで可能か
今回の記事を参考に、自社はどこまで対応できるものがよいか検討してみてください。
SSPM製品をお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
マネーフォワードi 株式会社
150以上のSaaSと自動連携可能。カバレッジの高さに強みを持つSaaS管理ツールです。Google Workspaceと連携することでシャドーITも検知でき、...
株式会社オプティム
クラウド・オンプレミスのソフトウェアをまとめて可視化できるSaaS管理サービス。未承認ソフトウェアや未稼働アカウントの検知も可能。ムダなコストやセキュリティリス...
スカイゲートテクノロジズ株式会社
CSIRT、コーポレートIT、SOCチームが横断的に利用する機能を統合した、セキュリティツール。クラウドの監視と制御により、クラウド活用と従業員セキュリティの両...
記事をシェア
<重要なお知らせ> サイトリニューアルに伴い、初回ログインにはパスワードの再設定が必要です。
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
パスワード再設定依頼の自動メールを送信しました。
メール文のURLより、パスワード再登録のお手続きをお願いします。
ご入力いただいたメールアドレスに誤りがあった場合がございます。
お手数おかけしますが、再度ご入力をお試しください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。
サービスの導入検討状況を教えて下さい。
本資料に含まれる企業(社)よりご案内を差し上げる場合があります。
