干し草の山の中から針(シャドーIT)を探す

筆者:Barak Kaufman

SaaSの爆発的な普及は、企業のセキュリティ部門にとって大きな課題となっています。現在、企業は機密性の高いデータのほとんどをクラウドアプリケーションに保存しています。 

また、IT部門が把握していないシャドーSaaSアプリケーションの使用が広範な問題となっています。SailPointの調査によると、大部分の組織では従業員が使用している実際のSaaSアプリケーションの数は、ITおよびセキュリティ部門が把握している数の3.5~4倍です。これら一つ一つのSaaSアプリケーションにより企業に新たなアクセスリスクが持ち込まれ、攻撃対象領域が拡大しています。 

ゼロトラスト環境が話題になっていますが、「見ることができないものをどのように保護するのか」という根本的な質問を投げかける必要があります。  

社員数が4,000人以上の一般的な企業では、1,265のアプリケーションが利用されています(出典)。これらのアプリケーションがどのようなものか把握すること以外にも、以下を理解する必要があります。

  • アクセス権を持っているのは誰か
  • アクセス権を持つべきなのは誰か 
  • アクセスはどのように使用されているか
  • 各アプリケーションはどの権限とデータにアクセスしているか 

これらは基本的な質問ですが、SaaSアプリケーションを大規模に管理しようとする場合、答えを見つけるのが非常に難しい問いです。こうした状況を理解することなしに、強力なアイデンティティ・セキュリティ戦略を策定、維持することは不可能です。 

ここで役に立つのがSailPoint SaaS Managementです。SaaS管理は、シャドーITによって生じる隠れたアクセスリスクを明らかにし、軽減します。当社は、組織がシャドーITとSaaSアクセスリスクに対処するための継続的な投資の一環として、以下の3つの新機能をリリースします。

  • グループレポート 2.0  
  • 調達データレポート
  • 接続アプリケーション 2.0 

グループレポート 2.0 

SaaS管理ソリューション開発の際、SaaSレポートは全面的にカスタマイズ可能でなければならないと考えていました。レポートのニーズはお客様ごとに異なるからです。企業ではなおさらです。進行中のM&Aプロジェクト、統合の実施、事業地域の拡大、データプライバシーの分析、リスク軽減戦略のために個別レポートを希望する企業もあります。 

グループレポート 2.0を利用すると、組織はSaaSを重要な属性別に、詳細にレポートすることができます。SaaS管理は、すべてのSaaSアイデンティティを組織のアイデンティティ属性に自動的に関連付けて分析するため、以下のような難問にも答えることができます。

  • Zoom Proのライセンスが最も多くプロビジョニングされているのはどの部門か、これらのライセンスは使用されているか  
  • 英国子会社で、何名の従業員がMicrosoft Office 365で二要素認証を設定しているか 
  • 新たに買収した企業にあるアプリケーションのうち、重複しており統合可能なものはどれか 

グループレポート 2.0 

SaaS管理の役割は、企業内のすべてのSaaSアプリケーションデータを集約し、可視化することです。過去にERP(企業資源計画)システム、費用管理プラットフォーム、クレジットカードとの統合によってもたらされたSaaS支出データも含まれます。  

当社は現在、調達システムからデータを取り込む機能の追加を済ませ、CoupaおよびSAP Ariba向けの新しいコネクターに着手しています。  

調達ソリューションとの統合により、新しい強力な検出ソースとデータをより堅牢に管理する機能がSaaS Managementに追加されました。これにより、セキュリティ管理者は承認されたアプリケーションのみが購入されるようにし、シャドーITを減らすことができます。また、更新日に関するコンテキストが提供されるため、アプリケーションへのアクセスの検証などのセキュリティ対策をよりタイムリーに実施できるようになります。

接続アプリケーション 2.0 

すべてのSaaSベンダーのアプリケーションの製品化、すべての製品のプラットフォーム化、そしてすべてのプラットフォームのマーケットプレイス化がますます進んでいます。これは、Google、Microsoft、Slackなどの主要なアプリケーションに加え、従業員がインストールしている多種多様な「アドオン」アプリケーション間でデータがやり取りされ、共有されていることを意味します。これらのアプリケーションの大部分は主要アプリケーションから権限を与えられており、多くの場合、セキュリティ部門は自社の環境に存在していることに気づいていません。

こうして企業に数多くのセキュリティリスクがもたらされます。例えば、アプリケーションが勝手にデータをダウンロードしたり、ユーザーのなりすましをする可能性があります。また、可視性やインサイトが提供されないため、こうしたことが起こっていることにさえ気づかない可能性があります。

例えば、Hey TacoはSlackやMicrosoft Teams向けの人気アプリケーションの1つです。このアプリケーションでは、従業員が感謝の印として仮想タコスを同僚と与え合うことができます。通常、従業員は、このアプリケーションを追加することで、プライベートチャネルやパブリックチャネルで共有されているすべてのメッセージを読むなどの権限をHey Tacoに与えていることに気がついていません。

このSaaS管理の強化により、お客様は第三者アプリケーションに付与されたシャドー権限を発見、分析、レポートできるようになります。また、レポート機能が強化されたことで、アクセス許可されたアプリケーションを詳しく調べ、アプリケーションに関連したリスクを見つけられるようになります。さらに、以下のような難問に答えられるようになります。

  • 自分のOffice 365インスタンスに読み書きできる未承認アプリケーションはどれか
  • 自分のSlackインスタンスにリスクの高いアクセスができる未承認アプリはどれか

SailPointの目標は、お客様が干し草の山の中から針を見つけ、このような接続アプリケーションによるアイデンティティリスクを防止できるようサポートすることです。 

お客様が強固なアイデンティティ・ガバナンス・プログラムをすでに実施しているか、セキュリティの取り組みの拡大を開始したばかりであるかにかかわらず、SaaS Managementはお客様の組織にすぐに価値を提供することができます。   

SaaS Managementがどのようお客様の業務負荷と組織のリスクを軽減するかを詳しく知りたい場合は、>こちらをクリックしてください。SaaS Managementの無料体験が可能です。


Discussion