• TOP
  • 特集記事
  • SSPM製品の比較13選!SaaS利用時のセキュリティ対策に

SSPM製品の比較13選!SaaS利用時のセキュリティ対策に

SSPM製品の比較13選!SaaS利用時のセキュリティ対策に

最終更新日:2024-03-19

SaaSツール利用に伴う情報漏えいや不正アクセスのリスクを軽減したい。でも、面倒なセキュリティ設定の手間はできるだけ省きたいと考えている、情報システム部門の方へ。SSPMの導入でできることやメリット、セキュリティ対策におすすめのツールを紹介します。

目次

SSPMとは

SSPM(SaaS Security Posture Management)とは、SaaSの設定をチェック・評価し、セキュリティリスクを継続的に管理するセキュリティソリューションです。

セキュリティ設定の不備や「退職者のアカウントが残っていないか」「不審なアクセスがないか」などを定期的に監視。問題があった場合、即座に検知・通知を行うことで不正アクセスを防止。また、法規制や業界基準に準拠しているかもチェックできるため、コンプライアンスリスクの回避も可能です。

SaaS利用におけるセキュリティ課題

リモートワークの浸透やクラウドへのシフトに伴い、SaaSにアクセスする機会が増えています。しかし、アプリケーション利用時のセキュリティ対策が施されていないケースもあり、多くの企業にとって大きな課題の1つです。実際、アクセス制限などの細かい設定を把握できていなかったために、不正アクセスや情報漏えいが起きてしまったという事例が複数あります。

SSPMにできること(機能)

前述した課題はSSPMの活用で解決できます。SSPMを導入すれば、SaaSの仕様変更や機能アップデート、リスク監視などに自動対応できるので、設定不備によるセキュリティリスクを低減できます。SSPMの主な機能を以下の表にまとめました。

情報の収集・一元管理 様々なSaaSについて、多要素認証の導入状況、パスワード管理、データ漏えいの保護といったセキュリティ設定の情報を集約して一元管理。仕様変更などを一括で行うことができる。
リスクの検出・アラート 不審な挙動、過剰な権限付与、不要なユーザーの存在など、設定におけるセキュリティリスクを常時監視し、発見次第アラート。素早く対応することで、インシデントを未然防止できる。
リスク評価・スコアリング 使用アプリ全体のリスクプロファイルを実施。リスクの有無だけではなく、スコアリングでリスクの程度も可視化。対応の優先順位づけも可能に。
コンプライアンス管理の評価 分析データをもとにコンプライアンス違反の傾向を特定し、起こりうるリスクの予測・対策を行えるようになる。

SSPMとCSPMとの違い

CSPM(Cloud Security Posture Management)はセキュリティリスクを可視化するという目的においてはSSPMと同様ですが、評価する対象が異なります。SSPMはSaaSの設定が評価対象ですが、CSPMはクラウドインフラストラクチャー全体のリスクを監視対象になります。たとえば、IaaS・PaaSにおけるネットワークやストレージ構成、特権アカウントの権限設定などが含まれます。

SSPM製品をお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。

SSPM製品の資料をダウンロード

 

SSPMが対象とするセキュリティリスクとは

SSPMが対象とするセキュリティリスクは、「セキュリティ設定」「アカウント管理」によるリスクです。主に以下のようなケースが挙げられます。

  • 必要以上にユーザー権限を設定したことで、知らない間に取引先情報が流出してしまった
  • 不要なアプリのアクセスを許可したことで、連絡先や通話履歴が流出してしまった
  • 開発環境からシステムのアクセスキーが流出。機密情報が盗まれてしまった
  • 退職者のアカウントが悪用されて、個人情報を抜き取られてしまった

そもそもSaaSのセキュリティ設定は企業の責任か

SaaSではユーザーが自社でサーバーを所有・管理する必要がないため、セキュリティ事故の責任の所在はどこにあるのかという問題があります。サービスによってそれぞれの責任範囲が異なる場合もあるので、一概には言えませんが、一般的な結論から言うと、運用上のセキュリティに関する責任はユーザー企業にあります。

SaaS自体のセキュリティの盲点を突かれたのだとすれば、クラウド事業者が責任を問われる可能性もありますが、セキュリティ設定やアカウント管理に関してはユーザー企業に多くの権限が委ねられている以上、そこから発生する不正アクセスや情報漏えいリスクに関してはクラウド事業者に責任を帰するのは困難と言えます。SaaSを利用する際は万が一の事態も考慮して、しっかりと設定や管理を行うように心がけましょう。

 

SSPMの導入メリット

SSPMの導入メリットとしては以下の3点が挙げられます。

運用業務の効率化と負担軽減

SSPMでは、異なる複数のSaaSにとシームレスに連携して、それぞれのセキュリティ設定やアクティビティを一元管理することができます。また、SaaSの追加や変更も一括で行うことが可能で、アプリごとに設定する手間もかかりません。設定の不備も自動で検出できるため、運用業務の効率化と負担軽減につながります。

リスクの洗い出し・早期対策

SSPMは複数のSaaSのセキュリティ設定やポリシーの情報をダッシュボードで一元管理できます。各サービスにログインする必要なく、素早く把握できるため、脅威となるリスクを早期に洗い出すことができます。また、定期的な設定不備の監視・分析によって潜在的なリスクや脆弱性も特定しやすくなるため、早期に有効な対策を講じられます。

コンプライアンスの徹底・強化

SSPMは最新の法規制や業界基準に適合するためのセキュリティポリシーを簡単に取り入れることができます。自ら調査してチェックする必要なく、ボタン一つでコンプライアンス違反にあたる行為がないか監視でき、問題があればアラートで通知されるのですぐに対応が可能です。中にはレポートを自動生成できるサービスもあり、監査やコンプライアンスにかかる手間とコストの負担も軽減できます。

 

SSPMの選び方

SSPM機能を備えたツールは数多くありますが、「どこまで対応させたいか」という点で最適なタイプは以下のように分けられます。

  • SSPMを効率化できれば十分な場合→[1]SSPM特化型
  • SaaS管理も合わせて強化したい場合→[2]SaaS管理ツール
  • SaaS以外にもセキュリティを強化したい場合→[3]CASB製

以下、それぞれのタイプについて「どういった場合に、どういった機能があると便利なのか」わかりやすく紹介していくので、サービス選びの参考にしてください。

[1]SSPM特化型

SSPM特化型とは、その名の通りSSPM機能に特化した専用ツールです。SaaSのセキュリティリスク監視や検知、設定不備の問題などを重点的に対策したい場合におすすめです。

たとえば、「Adaptive Shield」は、豊富な監査項目によってセキュリティ設定のリスクをチェックできます。「AppOmni」も、アップデートなどSaaSの仕様変更に自動対応し、設定不備や漏れによるインシデント回避が可能です。

[2]SaaS管理ツール

SaaS管理ツールとは、SaaS全体の効率的な運営を可能にする、様々な機能を搭載したツールです。中には、シャドーIDやアカウントの消し忘れによる情報漏えいなどを防ぐための機能を備えたものもあり、複数のSaaS利用時のセキュリティ対策やリスク管理はもちろん、アカウントの棚卸しや発行作業などの管理全般を効率化したい場合におすすめです。

たとえば、「ITboard」は複数SaaSのアカウントや各種契約情報を一元管理。利用実態が把握できていないサービスやSaaSを洗い出し、早期に停止することで情報漏えいを防止。コスト節減にも貢献できる。

[3]CASB製品

CASBとは、クラウドの利用を監視し、適切なセキュリティ対策を行うソリューションです。「履歴のないログから個人情報のファイルにアクセスがあった」といった緊急度の高い状況などでは、監視・アラートだけでなく、アクセスそのものをブロックすることもできます。設定ミスだけでなく、悪意あるユーザーの行動を防ぎたいという場合にはおすすめです。

たとえば、「Forcepoint CASB」は、リアルタイム監視や異常検知だけでなく、位置情報を利用したアクセスコントロールなどが可能です。

 

SSPMの比較ポイント

上記のタイプ分けに沿ってある程度イメージをつかめたら、次は個別に比較・検討してツールを絞り込む番です。検討ポイントとしては以下のような点が挙げられます。

対応SaaSが当てはまっているか

SSPMツールによって、対応できるSaaSは異なります。一般的なSaaSはどのツールも対応しているので心配いりませんが、独自色の強いSaaSを利用している場合はチェックが必要です。また、サービスによっては未登録のSaaSサービスもアドオンで対応できる場合があるので確認しておきましょう。

たとえば、「AppOmni」はアドオン開発のプラットフォームも用意しています。また、「デクセコ」は、マイナーツールや内製ツールも連携できるため、柔軟な対応が可能です。

セキュリティポリシーに合っているか

SSPMによって、セキュリティ監査項目の対応範囲は異なります。具体的には、アクセス権限やデータ共有などの設定状況や、2要素認証の設定状況などの対応・非対応の可否確認が必要です。自社のセキュリティに照らし合わせて、どれくらい反映させられるかをチェックしておきましょう。

たとえば、「Bundle」は自動で「2要素認証が未設定である」「30日間アクセスのないアカウントがある」などのリスクチェックを可能。アラート通知することでセキュリティインシデントを防止できます。

診断後の支援まで対応可能か

SSPMによっては、リスクのアラート・評価だけでなく、「どうしたらいいか」「どうすべきか」などその後の支援に取り組んでくれるものもあります。そのほか、定期的にアップデートや新機能の追加を行っているソリューションであればより安心です。

たとえば、ネットワンシステムズ社の「SSPMサービス」は監視・検知・分析したセキュリティリスクの結果を、月次レポートにまとめて提供しています。レポートに基づいた報告会も行っているため、継続的な対策検討が可能です。

 

主なSSPM製品(SSPM特化型)

Adaptive Shield(株式会社マクニカ)

Adaptive Shield公式Webサイト

(出所:Adaptive Shield公式Webサイト)

SaaSの設定状況を継続的に監視し、設定不備への対処を行うSSPM専用ソリューション。セキュリティ設定やコンプライアンス準拠の有無について、継続的にリスクチェックする機能を提供する。Microsoft 365、Salesforceなど100種類以上のSaaSに対応し、設定のセキュリティ監査項目も豊富。
APIと管理者権限の2つのデータ収集方法によって設定情報を取得し、リスクスコアを数値化する。現状を調査するためのSaaS設定監査レポートサービスも受けられるので、気になる場合は導入前に試しに実施してみるのもおすすめ。

  • 料金:要問い合わせ

サービス詳細へ

AppOmni(AppOmni, Inc.)

AppOmni公式Webサイト

(出所:AppOmni公式Webサイト)

SaaSのセキュリティ設定を検知し可視化するSSPMサービス。Microsoft 365、Salesforce、ServiceNow、Zoom、GitHubなど38種類のSaaSに対応。一元的な管理・診断を実現できる。
機能変更やアップデートなどSaaSの仕様変更に自動で追従。許可していないアプリケーションからの不審なアクセスも検知でき、SaaS内部のセキュリティだけでなく外部からのリスクにも対応できる。オプションでアドオン開発も可能。個別に対応したSaaS監視を行える。

  • 料金:要問い合わせ

サービス詳細へ

Netskope SSPM(Netskope Japan株式会社)

Netskope SSPM公式Webサイト

(出所:Netskope SSPM公式Webサイト)

SaaS利用における情報漏えいリスクや不正アクセス、マルウェアの感染といった脅威から機密情報を守る、SaaS環境のセキュリティソリューション。CASB、SWG、SSPM、ZTNAなど複数の機能を提供。特にセキュリティの集中管理、SASE・SSE製品に強みを持ち、外部からの評価も高い。
SSPM機能では、対応するSaaSの設定状態を可視化。ルールとプロファイルに従って構成の誤りを検出する。アラートで継続的に評価しつつ、設定改善の提案も可能。

  • 料金:要問い合わせ

サービス詳細へ

SSPMサービス(ネットワンシステムズ株式会社)

SSPMサービス公式Webサイト

(出所:SSPMサービス公式Webサイト)

米国のPalo Alto Networks社製品を使ったSSPMサービス。90以上のSaaSアプリケーションに対応。存在する脅威や推奨対策、セキュリティガイドラインへの適合状況を可視化できる。重大事象につながる設定ミスの発見遅れや対応漏れを防止するため、定期的にポリシー違反の発生有無を確認。
また、検知したポリシー違反およびセキュリティガイドラインに対する適合状況などを分析した結果を月次レポートで提供。訪問またはWeb会議で、報告対象月のレポートに基づいて報告も行っている。オプションで、ポリシー違反監視のメール通知も実施。

  • 料金:月額32万円〜、初期費用67万5,000円〜

サービス詳細へ

 

主なSSPM製品(SaaS管理も効率化したい場合)

SSPM製品の資料をダウンロード

Bundle(freee株式会社)

Bundle_公式Webサイト

(出所:Bundle公式Webサイト)

SaaSのアカウント発行作業や棚卸し作業を自動化できる、情シス向けのSaaS管理ツール。約200種類のSaaS管理が可能。SaaSアカウントを持つ従業員データベース、部署異動に伴う利用SaaSの変更に自動対応するオートメーション機能など、9つのSaaS管理機能を搭載。
SSPM機能としては、リスクチェック機能を実装しているのが特徴。特権管理者アカウントが複数存在する」「2段階認証設定が未設定」「30日間ログインがないアカウントがある」などセキュリティリスクの高い項目を検出し、アラート通知してくれる。

  • 料金:要問い合わせ

今すぐ資料をダウンロードする(無料)

サービス詳細へ

マネーフォワード Admina(マネーフォワードi株式会社)

マネーフォワード Admina公式Webサイト

(出所:マネーフォワード Admina公式Webサイト)

多様なクラウドサービスやSaaSとの連携で、情シスデータを一元管理できるSaaS管理ツール。対応SaaSは240以上。2要素認証などセキュリティ設定の不備や、退職者アカウントのアラート通知などによってリスクを検知・可視化する。
外部コンテンツ共有管理機能で、Googleドライブなど複数のプラットフォームにわたる公開ファイルを監視可能。公開時にはアラートされ、問題のあるファイルは画面上ですぐ共有停止できる。

  • 料金:月額300円/ID(51ID以上の場合) ※300ID以上は要問い合わせ、無料プランあり

今すぐ資料をダウンロードする(無料)

サービス詳細へ

ITboard(アイティクラウド株式会社)

ITboard公式Webサイト

(出所:ITboard公式Webサイト)

社内SaaS利用の可視化、詳細情報の棚卸しが可能なSaaS管理ツール。各種契約情報の管理、利用者コストの管理のほか、削除漏れ退職者の表示、一次発行者アカウントの検知、シャドーIT検知が可能。管理コストを抑えると同時に、利用実態が把握できていないサービスやデバイスからの情報漏えいを防止。デバイスの貸与状況も可視化でき、返却時のアラート機能も実装しているため返却漏れ防止にもなる。
接続サービス100個までのスタンダードプランと、無制限のプレミアムプランを用意。プレミアムプランではSSO(シングルサインオン)管理も可能。利用人数や業務内容に応じて選択できるようになっている。

  • 料金:要問い合わせ

今すぐ資料をダウンロードする(無料)

サービス詳細へ

ジョーシス(ジョーシス株式会社)

ジョーシス公式Webサイト

(出所:ジョーシス公式Webサイト)

情報システム部門のアナログ業務を自動化し、業務コスト削減とセキュリティ向上を支えるITデバイスとSaaSの統合管理サービス。中小企業から300名以上の大企業まで、それぞれの規模に合ったソリューションを提案。220個以上のアプリに対応しており、SaaS・デバイスの一元管理が可能に。
シャドーITや削除漏れアカウントの検知、従業員ごとのアプリ利用状況や権限設定の異常を把握できる。管理リソースが不足している企業には、キッティングからデバイス・SaaSの台帳更新まで対応するアウトソーシングサービスも提供。

  • 料金:要問い合わせ

今すぐ資料をダウンロードする(無料)

サービス詳細へ

デクセコ(株式会社オロ)

デクセコ公式Webサイト

(出所:デクセコ公式Webサイト)

SaaSアカウントの効率化、費用対効果の最大化を目的としたSaaS管理ツール。契約情報・アカウント情報の自動管理・更新によって社内SaaSの利用状況を可視化。ブラウザ拡張機能で簡単にセキュリティリスクを管理でき、現場のSaaS利用を妨げずにシャドーITを把握できるようになる。
柔軟な対応に強みを持ち、自動連携できていないマイナーツールや社内でつくられたツール管理にも対応可能。アンケート機能を利用すれば、社内のメンバーのSaaS登録・契約情報も収集できる。新しく利用を始めたSaaSや使わなくなったSaaSも簡単に把握可能。

  • 料金:要問い合わせ

今すぐ資料をダウンロードする(無料)

サービス詳細へ

OPTiM サスマネ(株式会社オプティム)

OPTiM サスマネ公式Webサイト

(出所:OPTiM サスマネ公式Webサイト)

クラウド・オンプレミスのソフトウェアをまとめて可視化できるSaaS管理サービス。ZoomやSlack、Notionなど多数のSaaSと連携・アカウントデータの自動取得が可能。所属部署や役職、在職有無などの従業員データと、「誰が・いつ・どのツールを使ったか」などの履歴データを紐づけて管理画面上で一覧表示できるため、利用状況がわかりやすい。SaaSアカウントの利用状況や人事異動・体制変更に伴うアカウントの追加・削除などの状況も自動反映されるため、手作業・目視によるデータ入力や更新作業を大幅に削減できる。
シャドーITや未削除の退職者アカウント検知・アラート通知にも対応。情報漏えいなどのセキュリティリスクの未然防止はもちろん、無駄なコストの発生を抑えられるのもうれしい。

  • 料金:月額250円/ID、初期費用なし(500ID以下の場合)

今すぐ資料をダウンロードする(無料)

サービス詳細へ

 

主なSSPM製品(アクセスブロックも行いたい場合)

SSPM製品の資料をダウンロード

Netskope CASB(Netskope Japan株式会社)

Netskope CASB公式Webサイト

(出所:Netskope CASB公式Webサイト)

クラウドアプリケーションの利用状況を可視化・監視・制御するCASBソリューション。アプリ利用の許可状況を問わず、アプリ間の意図しないデータ移動を制御できる。ビジネスメールから個人メールアカウントへの機密コンテンツコピーも阻止。
クラウドアプリのリスクスコアリングも可能。存在する全体的なリスクのレベルを特定し、組織への脅威を軽減。シャドーITの把握、排除が可能になる。リスクの高いアクティビティや、機密性の高いデータの移動に関するユーザー指導などをリアルタイムで通知し、高度なデータ損失保護が可能。また、セキュリティポリシーをリアルタイムで適用し、データの損失と脅威を阻止できる。

  • 料金:要問い合わせ

サービス詳細へ

Cygiene(スカイゲートテクノロジズ株式会社)

Cygiene公式Webサイト

(出所:Cygiene公式Webサイト)

クラウドの監視とコントロールを通じて、クラウド活用と従業員セキュリティの両立を可能にするセキュリティソリューション。国内外の様々なSaaSやクラウドサービスと1クリックで連携。SaaS上の監査ログやアクティビティ、アカウント情報を自動収集し、ユーザーアカウントの状態やアクセス状況などを従業員ごとに可視化できる。
収集されたアカウント情報は名寄せされ、行動ログから該当人物を識別することも可能。データソースを横断してユーザー単位でのタイムラインを簡単に切り出せる。データはユーザー単位で最適化されるため、素早いインシデント調査が可能になる。

  • 料金:要問い合わせ

今すぐ資料をダウンロードする(無料)

詳細はこちら(インタビューあり)

Forcepoint CASB(Forcepoint LLC)

Forcepoint CASB公式Webサイト

(出所:Forcepoint CASB公式Webサイト)

クラウドセキュリティ強化およびセキュリティ管理者の生産性向上を可能にするCASBツール。シャドーITの可視化、クラウドアプリケーションのアクセス制御などに対応。位置情報を使用したアクセスコントロールや、機密ファイル共有コントロール機能によって、強固な情報保護が実現できる。
業界の最適基準や各国の規制要件などのベンチマーク情報に基づいて、クラウドアプリケーションのリスクスコアリングも可能。そのほか、機密データをカタログ化・識別するデータ分類、リアルタイムのアクティビティ監視と分析、継続的な自動異常検知などが可能。

  • 料金:要問い合わせ

サービス詳細へ

 

まとめ

SSPMを活用すれば、SaaSの設定を自動で監視・異常検知でき、セキュリティの強化と同時にSaaS管理の効率化にもつながります。SSPMツールは、対応範囲によって以下の3タイプに分けられます。

(1)SSPM特化型
(2)SaaS管理ツール
(3)CASB製品

自社の課題を解決できそうなものがどのタイプに当てはまるかを把握できたら、以下の3つのポイントを押さえて具体的なツールを選定しましょう。

(1)対応SaaSに当てはまっているか
(2)セキュリティポリシーに合っているか
(3)診断後の支援まで可能か

今回の記事を参考に、自社はどこまで対応できるものがよいか検討してみてください。

SSPM製品をお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。

SSPM製品の資料をダウンロード

 

インタビューやサービス詳細はこちら

Bundle

freee株式会社

170のSaaSと自動連携して、アカウントの棚卸しや発行作業を自動化。「退職者のアカウント削除が漏れていないか」「どのファイルが外部に共有しっぱなしになっている...

マネーフォワード Admina

マネーフォワードi 株式会社

150以上のSaaSと自動連携可能。カバレッジの高さに強みを持つSaaS管理ツールです。Google Workspaceと連携することでシャドーITも検知でき、...

ITboard

アイティクラウド株式会社

ソフトバンクのグループ企業が提供するSaaS管理プラットフォーム。利用SaaSを登録するだけで、社内の利用状況・コストを可視化。コスト削減、アカウント管理効率化...

ジョーシス

ジョーシス株式会社

SaaSアカウントやデバイスの利用状況を可視化し、一元管理する統合管理ツール。デバイス調達やPCキッティングも可能。工数削減やセキュリティ強化を実現、生産性向上...

デクセコ

株式会社オロ

プライム市場上場企業の「オロ」が運営するSaaS管理ツール。利用中のSaaSの契約情報や利用状況、シャドーIT、アカウント情報を一元管理。IT導入補助金の対象ツ...

OPTiM サスマネ

株式会社オプティム

クラウド・オンプレミスのソフトウェアをまとめて可視化できるSaaS管理サービス。未承認ソフトウェアや未稼働アカウントの検知も可能。ムダなコストやセキュリティリス...

Cygiene(サイジーン)|インタビュー掲載

スカイゲートテクノロジズ株式会社

CSIRT、コーポレートIT、SOCチームが横断的に利用する機能を統合した、セキュリティツール。クラウドの監視と制御により、クラウド活用と従業員セキュリティの両...

記事をシェア

  • Facebook
  • Twitter
  • LINE


CLOSE
ログイン

<重要なお知らせ> サイトリニューアルに伴い、初回ログインにはパスワードの再設定が必要です。

会員パスワード変更

アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。

再設定依頼メール送信完了

パスワード再設定依頼の自動メールを送信しました。
メール文のURLより、パスワード再登録のお手続きをお願いします。

メールが届かない場合

ご入力いただいたメールアドレスに誤りがあった場合がございます。
お手数おかけしますが、再度ご入力をお試しください。

ご回答ありがとうございました。

ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。

CLOSE
登録完了

ご登録いただき、ありがとうございました。
資料ダウンロードを選んだ方は、送信されたメールのURLをクリックして資料をダウンロードしてください。

CLOSE
更新完了

登録内容を変更しました。

CLOSE
アンケートにご回答ください。

サービスの導入検討状況を教えて下さい。

本資料に含まれる企業(社)よりご案内を差し上げる場合があります。

  • 資料請求後に、当該資料に含まれる「サービス提供会社」や弊社よりご案内を差し上げる場合があります。
  • ご案内のため、アスピックにご登録いただいた会員情報を弊社より「サービス提携会社」に対して電子データにて提供いたします。
  • 利用規約とプライバシーポリシーに同意の上、ダウンロードいただきます。
CLOSE
ご回答ありがとうございました。

ご登録いただいているメールアドレスにダウンロードURLをお送りしています。
ご確認ください。