クラウド移行 へのステップとして SaaS を利用する企業が増えています。しかし、社内で利用するSaaSの数が増えることで管理が追いつかなくなり、セキュリティリスクが増大してしまうケースが少なくありません。SaaSを利用する場合は、ログインやデータアクセス、暗号化など複数のセキュリティ対策に配慮する必要があるでしょう。ここでは、SaaSを複数利用する場合のリスクと対処法について解説します。
SaaSを複数使うことで発生するリスク
SaaSの複数利用では、情報流出や外部からの攻撃などさまざまなリスクがあります。具体的には、以下のようなリスクです。
アカウント、権限に関するリスク
サービスごとに発行されるアカウントから、何らかの理由でログイン情報が流出し、そこから不正アクセスにつながるリスクがあります。複数のSaaSを利用することでアカウントが増え、使用する本人の管理が追いつかずに流出を招いてしまうのです。特に近年では、ビジネスメールにもフィッシングやなりすましが横行しているため、ルールの整備やセキュリティツールのみではアカウント情報の流出を防ぎきれないのが実情です。もしSaaS用のアカウント情報が漏れてしまうと、アカウントが乗っ取られるだけでなく、 SaaSと接続されている社内システムへ侵入を招くなど、より重大なセキュリティインシデントへ発展するリスクも考えられます。
情報流出リスク
複数のSaaSを利用することで設定情報の管理が煩雑になり、情報流出リスクを高めてしまうことがあります。近年はSaaS提供事業者も入念に暗号化対策を講じており、いわゆる「常時SSL」が当たり前になっています。また、暗号化された内容を平文に戻し、検査してから再び暗号化する「SSL可視化」も一般化しました。このことから、以前に比べると盗聴のリスクは格段に低下しています。しかし、 ユーザー側の設定ミスによる情報流出は依然として発生している状況です。
マルウェア感染のリスク
DDoS攻撃のように、アカウントの乗っ取りや情報流出がマルウェアの感染につながり、意図しないうちに攻撃の土台を形成してしまうことがあります。また、外部の攻撃者がマルウェアを使用してSaaS提供事業者に直接攻撃を仕掛け、サービスを停止させてしまうリスクも考えられます。
利用規約違反のリスク
SaaS利用に関するルールが明確になっていない状態では、従業員の裁量でSaaSを利用することになります。このとき、SaaS提供事業者が定める利用規約に反する使い方をしていれば、ベンダーからのサポートを受けることができません。
SaaSのリスクを低減させるためのチェックポイント
これらSaaS利用時のリスクを低減するためには、次のようなポイントに着目してベンダーを選定していきましょう。
統合、可視化された環境が提供されているか
複数利用が前提の場合、サービスごとにセキュリティ対策を講じていると管理の手間が増えてしまいます。したがって、 さまざまなサービスを横断的に監視し、一元的に管理できるコンソール画面などを提供しているか をチェックしておきましょう。
機能の充実度
現代の サイバーセキュリティ 対策は、複数の対策を組み合わせる方法が主流です。アカウント管理や権限管理、暗号化キーの保管、外部攻撃からの防御策など、主要な対策がワンストップで提供されているソリューションを活用していきましょう。
国内外のセキュリティ基準を満たしているか
SaaSを提供するベンダーが、第三者機関による評価基準をクリアしているかも重要なポイントです。国内基準であれば「 クラウドセキュリティ マーク(CSマーク)」や「ISMAP」、グローバル基準であれば「ISO27001」などが基準となります。こうした外部評価による基準をクリアしているベンダーであれば、顧客のセキュリティ要件をクリアできるだけの技術力、組織力を有していると推測されます。
SaaSリスクを低減させるAzureのセキュリティ
上記の基準を満たすサービスを探し出し、各ベンダーと契約していくにはまた別の労力が必要です。そこで、クラウドプラットフォームが提供するセキュリティツールを活用してみてください。例えば Azure では、 一元化された管理画面をはじめ、暗号化や外部攻撃への対策など、複数のセキュリティ対策を包括的に提供 しています。
一元化されたセキュリティコントロール
Azureが提供する「Microsoft Defender for Cloud」は、クラウド構成全体からセキュリティ上の弱点を抽出し、マルチクラウド/ハイブリッドクラウド環境全体を保護します。仮想マシン・コンテナ・データベース・ストレージ・アプリケーションなど、システムを構成する重要なワークロードをセキュリティで保護できます。
複数のセキュリティソリューションを内包
Azure Active Directory
「シングルサインオン」や「多要素認証」、さらに「条件付きアクセス」によってアカウント情報の流出が招く不正アクセス、情報漏洩リスクを低下させます。
Azure DDoS Protection
DDoS攻撃では、攻撃の「踏み台」を複数の場所に作り出し、一斉に攻撃を仕掛けます。そのため事前検知や防御が難しく、一度攻撃に晒されてしまうとサーバーダウンやサービス停止など甚大な被害をもたらすことで知られています。Azure DDoS Protectionでは、事前検知機能やネットワークトラフィック除去機能、DDoS攻撃の可視化機能などによってDDoS攻撃のリスクを最小化することが可能です。
Azure Information Protection
不正アクセスや情報漏洩によって機密情報が流出する背景には、そもそも情報が十分に保護されていないという事実があります。Azure Information Protectionでは、電子メールや社内ドキュメントを機密度に応じて分類し、保護するため機能です。機密度の分類は、完全自動およびユーザー主導から選択できます。
Key Vault
データの暗号化には、暗号化キーの作成と運用が必須です。Key Vaultは、この労力を削減しつつ強固な暗号化キーの生成を促します。Key Vaultでは、厳格なセキュリティ要件(FIPS 140-2)に準拠したHSM(ハードウェアセキュリティモジュール=暗号化キーを保管するデバイス)を完備しています。また、暗号化がアプリケーションの運用を妨げないように、クラウド上にキーを格納することも可能です。
国内向けのセキュリティ認証も網羅
Azureは外資ベンダーでありながら、日本国内のセキュリティ認証を複数取得しています。
CSマークゴールド
JCISPA(クラウドセキュリティ推進協議会)が主催する監査制度をクリアした事業者に付与されるマークです。Azureでは、外部監査を終えた事業者に対して付与される「CSマークゴールド」を取得しています。
ISMAP
政府が求めるセキュリティ要件を満たしているクラウドサービスを評価・登録する制度です。Microsoftが提供するサービスのいくつかはISMAPに登録されており、Azureもそのひとつです。
まとめ
ここでは、SaaSの複数利用によってセキュリティリスクが発生する理由や、その対策について解説しました。SaaSは手軽に導入できるだけに、一旦普及し始めると個別管理が追いつかなくなる可能性があります。セキュリティリスクが増大する前に、一元化された管理・対策方法を確立しておくべきでしょう。Azureではハイブリッドクラウドやマルチクラウドも想定したセキュリティソリューションを提供しています。ぜひ導入を検討してみてください。
