無秩序に広がるSaaSの危険：安全でないアプリケーションによって企業のセキュリティはどのように損なわれるのか

本ブログは、「SaaS Managementとは何か？」を探る3部構成のシリーズの第1部です。今回は、SaaSの増大、徐々に高まるアイデンティティセキュリティへの影響、そしてITチームが受けている影響について掘り下げます。

現代の全ての企業に共通するものが1つあるとしたら、SaaS（サービスとしてのソフトウェア）がまさにどこにでもあることです。企業のデジタル化が進むにつれて、SaaSの採用が容易になり、企業は迅速に規模を拡大し、状況の変化に素早く対処し、コストをよりうまく制御できるようになりました。SaaSの採用スピードは加速する一方であり、2022年には約90%の企業が、ほぼ全面的にクラウドベースのアプリケーションに依存するようになると予測されています。

SaaSアプリケーションがもたらした俊敏性によって、従業員の生産性は向上しました。特に世界中のほぼ全ての企業がリモートワーク優先の環境に移行することを余儀なくされたパンデミック期間中はそれが顕著でした。業務遂行のため、必要に迫られた従業員がクラウドベースのツールに次々と登録している一方で、IT部門はこの溢れんばかりの量の新しいSaaSアプリケーションを把握するのに苦労しています。

SaaSの増加はリスクの増加を意味する

非常に多くの新アプリケーションが動作していることを考えると、こうした柔軟性をもたらす新たなソリューションをサポートしながら、同時に企業を安全にしてその資産を保護する方法を見つけるのは、ITチームやセキュリティチームにとって難しい課題です。どうすればIT部門は、従業員が現在使用している、数百にも及ぶ未認可のアプリケーションを可視化できるのでしょうか？(管理についてはなおさらそうです。) これらのアプリケーション数は、時にIT部門の認識の3～4倍に上ります。

急速に拡大する、この「シャドーIT」の問題にどう立ち向かいますか？

何もしないわけにはいかないのは明らかです。無秩序に広がるSaaSは増え続ける一方で、まるでガードレールの設置なしで走る暴走列車のように、今よりもさらにコントロール不能になる可能性があります。これにうまく対処できなければ、リスクは急激に増大します。すなわち、未認可のSaaSアプリケーションに機密データを統合し、無制限のアクセス権を与える従業員が増えていることにより、おそらく既に、数多くの社外の組織が企業のシステムへの不適切なアクセス権を得ています。

つまり、自社のデータに対するアクセス権を持っていることさえも知らなかったベンダーから、漏洩が起きる可能性があるということで、これはサプライチェーン攻撃として知られています。データプライバシーに関する規制が強化されている中で、こうした攻撃はチームに大惨事をもたらす可能性があります。ITチームが把握していない未統制のSaaSアプリケーションを従業員が使用していることで、企業は重要なデータを突然失ったり盗まれ、同時にプライバシーに関する深刻な問題や高額なコンプライアンス違反の罰金に直面するおそれがあります。

セキュリティのリスクに加えて、無駄な支出という問題もあります。平均的な中小企業では、従業員1人あたり年間約4,379ドルをSaaSに費やしています。しかし、そのSaaSライセンスの30%は実際には十分に活用されていないか、場合によっては全く使用されていません。これは、オーバープロビジョニングが数十万ドルの、グローバル企業の場合は数百万ドルもの不要な支出につながっている可能性があることを示す、憂慮すべき例です。正気の沙汰とは思えないですか？でもこれは、どんなに洗練されたITチームでもよく起こる問題だと断言できます。

SaaSをきちんと整理する

それでは、どこから始めましょうか？まず最初に、手作業によるアプローチでは、自ら失敗に向かうようなものです。企業のSaaS環境は日々変化しているため、スプレッドシートのようなツールを利用していては、うまくいきません。何らかの調査が完了した時点で、その結果は既に古くて役に立たなくなっています。もし仮に手作業での監査を迅速に行う方法があったとしても、従業員が存在を忘れている（または開示したくない）アプリについてはどうなりますか？どうすれば全てを検出できるでしょうか？

答えは自動化、特に検出と管理の自動化です。これらの機能を備えた自動ツールを利用することで、企業はようやくSaaS環境全体を継続的かつ正確に可視化し、利用されている全SaaSアプリケーションの完全な全体像をリアルタイムで把握できるようになります。これは「SaaS Management」と呼ばれ、全ての企業が対処できるようになる必要があります。なぜなら、この可視性は企業がサイバーセキュリティプログラムを成功させるために必要な土台となるからです。

ある程度のインサイトがあれば、全てのSaaSへのアクセス権の統制、あらゆるアプリケーションに対するアイデンティティの管理、ソフトウェアの支出をより効果的に管理し、最終的にリスクの軽減を可能にする制御を導入できるのです。そしてそのリスクには、安全ではないアプリケーションに機密データを保管する危険性と、従業員に不要なアクセス権・付与されるべきでないアクセス権がオーバープロビジョニングされる危険性の両方が含まれます。

SaaS Managementはこれらの問題に正面から取り組むことで、企業が社内全体にプラスの波及効果をもたらすプロアクティブなアプローチを取ること可能にします。想像してみてください。ITから会計、購買、営業、マーケティングに至るすべての部門で、どのアプリケーションが使用されているのか、誰がどのように使用しているのか、費用がいくらかかっているのか、これらが完全に足並みが揃っているところを。これは革新と成長を目指すあらゆる企業にとって、強力な競争優位性となります。

SaaSのセキュリティへの道

クイックフィックスソリューションは長期的には効果がないため、アクションを実行する前に、いくつかの戦略が必要です。 企業が行う必要があるのは、全体的に考えることです。SaaS管理はサイバーセキュリティプログラム全体にどのように適合しますか？ –これは、包括的なIDセキュリティ戦略の一部として組み込むことを意味します。 良いニュース：このような完全に自動化されたソリューションがすでに存在するだけでなく、その成功は主要なグローバルブランドによって何度も証明されています。

これこそ、IT部門が把握しておくべき、永続的なSaaSのセキュリティを実現する秘訣です。

本シリーズの第2回の記事：「Why SaaS Management Matters for Your Identity Security」（SaaS Managementがアイデンティティセキュリティにとって重要である理由）をどうぞお楽しみに。