なぜCISOとCIOはSaaSへのアプローチを再考する必要があるのか

業務の未来はSaaSにかかっており、現在のアプローチを再編する必要があります。アイデンティティセキュリティ戦略は、企業が可視性だと見なしているものを、そして現状のアプローチに存在する危険なギャップをどのように再考する必要があるのでしょうか。

もし皆さんが、私のよく知るCISOの方と同じ状況だとしたら、クラウドベースのサービスの急速な採用に伴う、差し迫った多くの課題に直面していることでしょう。情報技術の消費拡大に伴い、クラウドとSaaSの成長は加速しています。ユーザーは業務支援のために、クラウドのアプリやサービスを気軽にダウンロードして利用するようになりましたが、それは時にIT部門の明確な承認なしで行われています。SaaSのビジネスモデルそれ自体は、エンドユーザーの採用にかかっています。こうしたプラットフォームを増強することで無料トライアルを通じた「製品主導の成長」を推進したり、製品の持つスティッキネス（粘着性）を促進したり、ユーザーの勧誘を行ったりする、エンジニアとマーケティング担当者のチームも存在します。

デジタル化の加速と、テレワークへの移行が広まったことにより、SaaSの導入はさらに大きく成長しました。そして多くのCISOは、事業を行う上でのもう1つのコストであると考えているシャドーITの問題を実際には複雑化しています。シャドーITに関する詳細は、当社のブログでご覧いただけます。私の読んだレポートによると、SaaSアプリケーションをIT部門の承認なしで業務に利用していることを認めている従業員が80%に上ると推定している専門家もいました。

Gartnerは、シャドーITは大企業のIT支出全体の実に30～40%という大きな割合を占めていると述べています。すなわち、IT予算の半分近くが、IT部門の知らないところでチームや事業部門が購入（そして使用）しているツールに投資されているということです。承認されていないソフトウェアやサービスの多くは、承認されたものと機能が重複している可能性が高く、企業の投資効率を下げる原因となっています。全社的な収益への影響はどのくらいでしょうか？業界によって異なりますが、Deloitte Insightsが行った最近の調査によれば、平均すると企業は収益の3.28%をITに投資しています。銀行およびセキュリティ企業の投資額が最も高く（7.16%）、最も低いのは建設業（1.51%）です。       

さらに、シャドーITのツールは適切な診断が行われていないため、セキュリティ上のリスクとコンプライアンスの複雑化をもたらします。このリスクには、情報漏洩につながるセキュリティの欠如も含まれます。ITチームはこうしたソフトウェアやサービスのセキュリティを確保できず、効果的な管理や更新の実行もできません。Gartnerは、2022年までに企業に対して成功を収める攻撃の3分の1が、シャドーITリソースを標的としたものになると予測しています。Ponemonが試算した平均漏洩コストである386万ドルと、漏洩の起こる年間の平均確率である27.2%を使用すると、シャドーITによって発生する漏洩に関連するリスク費用は年間35万ドルとなります。

導入されているSaaS製品をどのように追跡していますか？企業の基幹アプリケーションだけでなく、すべてを含めてです。もしスプレッドシートをお使いだとしたら、それは貴社だけではありません。しかし、その方法では完全な可視性は得られません。存在する製品やサービスの一部を示しているに過ぎず、しかもスプレッドシートは更新された次の瞬間から情報が古くなります。このアプローチは時間の無駄であり、不正確な情報で埋め尽くされる原因となります。

このアプローチがどのような影響をもたらすのか、ご覧に入れましょう。

あなたはこんな話を耳にしました。財務部長が、クラウドファイルストレージアプリを介して、ルート階層のフォルダを外部の関係者に共有していたというのです。この不注意により、決して公開も共有もすべきでなかった詳細にわたる財務報告書へのアクセスが可能になり、給与や損益計算書などが意図せず流出しました。さらに、内部のみに読み取り専用で公開されるべきであった、その財務部長のチームのファイルやフォルダ、議論の内容が完全に公開され、財務ファイルや他の機密情報が検索エンジンによりインデックス作成可能となってしまいました。このケースでは、誰が責任を負うのでしょうか？財務部長ではありません。CISOとCIOなのです。

あるいは、企業で知らないうちに、1つではなく5つ（またはそれ以上）の重複するプロジェクト管理アプリがITの管轄外で実行され、社内全体に広まっているという状況はどうでしょうか。この場合、大幅なコストの重複とセキュリティ上の脆弱性が生じます。どれほどの機密データが他のアプリに保存されているでしょうか？私の個人的な経験から言わせていただくなら、こうした状況は非常によくあるものであり、おそらく皆さんの会社にも当てはまるものです。

シャドーITおよびSaaSのアクセスのリスクに光を当て、管理されていないSaaSアプリケーションの全貌を細部まで可視化することにより、企業は年間数十万ドルもの費用を節約できます。その結果、検出からガバナンスまでをカバーするシームレスなプロセスをSaaSアプリケーション環境全体にわたって推進し、新しく検出されたすべてのSaaSアプリ（およびアプリ内のデータ）に適切なセキュリティコントロールを適用することが可能になります。これは、企業全体にわたるシャドーITの問題を解決するのに役立ちます。

2022年までに、約90%の企業が、その事業運営をほぼ全面的にSaaSアプリケーションに依存するようになると推定されています。このITの新時代において、現代のクラウド企業を完全に保護する唯一の方法は、まずすべての隠れたSaaSアプリケーションを検出した後で、他の重要なビジネスアプリケーションに適用されているのと全く同じガバナンスコントロールを適用することです。この実現を後押しできるのはSailPointだけです。アイデンティティセキュリティにおけるリーダーであるSailPointは、企業が管理されていないSaaSアプリケーションに光を当て、適切なセキュリティコントロールを拡張して、適切な人だけがこうしたアプリケーションにアクセスできるようにします。その結果、ITチームはそうしたSaaSアプリをすばやく発見して管理下に置けるようになるとともに、誰がアクセス権を持っていて、そのアクセス権がどのように使われるかを理解するのに必要な可視性とインテリジェンスを得ることができ、過剰または不要となったアクセス権を削除または変更できます。SailPointによって、SaaSのリスクを軽減してコンプライアンスを向上させるだけでなく、ライセンスコストを最適化して無駄なIT投資を抑制することが可能になります。