ガートナージャパン株式会社 (本社:東京都港区、以下Gartner) は、SaaSセキュリティへの取り組みにはアイデンティティ保護とデータ・セキュリティの見直しが重要であるとの見解を発表しました。
日本企業におけるクラウド・サービスの利用は拡大しており、その中でもSaaSの利用は増え続けています。SaaSの利用は、企業のデジタル化推進の取り組みにおいてはほんの一部でしかありません。しかしながら、SaaSについて、どのようにすればセキュアになるのか、セキュリティのために何が必要なのかといった点に確証が持てず、戸惑いを見せているITリーダーやセキュリティのリーダーが多くいます。
アナリストでディレクターの矢野 薫は次のように述べています。「セキュリティが理由でSaaSの活用が進まないと、単にSaaSのメリットを享受できないだけでなく、企業全体のデジタル化の推進自体が減速することになります。これは企業にとっては大きな問題です。自社の競争力強化のためにデジタル化を加速させたいという場合はなおさらです。SaaS利用というクラウド活用のファースト・ステップで立ち止まっていたり、後れを取ったりしている場合ではありません」
SaaSアプリケーションに対するアクセスを制御し、機密データを保護することは、現在のセキュリティ脅威の下でビジネスの安全性を確保するために欠かせません。また、昨今の厳格なプライバシー規制がもたらす課題は増しており、企業が継続的にビジネス成果を実現していくためにも、進化し続ける要件にタイムリーに対処する必要があります。
SaaSセキュリティの課題として以下の3点が挙げられます。
課題1:ルールがない
これまでのセキュリティは、オフィスやデータセンターなどの閉域網が中心でした。この場合、アイデンティティとデータの保護に対するルールを細かく設定しなくても、境界型のセキュリティ対策を強化することでセキュリティ全体のリスクを下げられました。しかし、SaaSの活用により業務アプリケーションがこれまでの閉域網からクラウドへ移行したことで境界がなくなり、IT/セキュリティ・リーダーは、アイデンティティやデータの保護をSaaSごとに実装する必要に迫られています。
課題2:設定とレベルがばらばらである
SaaSの場合は、それぞれのアプリケーションにおいて個別に認証、アクセス管理、データ保護を行う必要があり、実際にはセキュリティの分散化が進むことになります。数多くのSaaSを利用するようになればなるほど運用は煩雑になり、また、SaaSによって実装できるセキュリティ機能に差があるため、セキュリティのレベルを一定に保つことが難しくなります。
課題3:SaaSの評価と採用に手間が掛かる
SaaS採用の際にはチェックリストなどを用いて個別にセキュリティ機能を評価しますが、最近はユーザー部門からのリクエストが多いこともあり、IT部門だけでは対応できなくなってきています。そのため、IT部門に代わってユーザー部門にチェックを担当してもらうケースが出ていますが、ITやセキュリティの専門用語が並ぶチェックリストに戸惑うユーザーも多くいます。SaaSは「すぐに使える」ことがメリットであるにもかかわらず、このようなセキュリティ評価に時間を要することでSaaSの採用に時間がかかり、SaaSのメリットを生かせないといった状況が見られるようになってきました。
SaaSセキュリティに関する上記3つの課題を踏まえ、矢野は次のように述べています。
「SaaSセキュリティにはさまざまな対策がありますが、例外なく取り組む必要があるのがアイデンティティとデータの保護です。この際に重要なことは、これまでのように『本人であればアプリケーションの利用を許可する』といった粒度のルールを適用するのではなく、『このユーザーは本当にそのアクセスが必要なのか』をアクセスのたびにチェックする点にあります。このためには、ユーザーの役割からそのアクセスの意味を読み取る必要が出てきます。SaaSの導入までに時間的余裕がある企業の場合は、セキュリティの原則に従い、ルールの策定を『棚卸し』から実施すべきです。一方、すぐにでもSaaSを使いたいというような場合には、棚卸しに代わる方法でルールを策定していくといった工夫が必要です。例えば、SaaS上でまずは認証やアクセス制御を強化し、さらにユーザーの範囲を限定しつつ、実際にユーザーが何をどのように利用するのかについての情報収集を実地で行いながらルールを作り、それを精緻化していく、というような動的なルール策定アプローチを選択することができます」
さらに、矢野は次のように補足しています。「クラウド上にSaaSのアイデンティティとデータ・セキュリティの標準化基盤を作っておくことで、セキュリティの運用を分散させずに一元化できる上に、すべてのSaaSに対して同じセキュリティ機能の適用が可能になります。新たに採用するSaaSについては、このセキュリティ標準化基盤へ接続できることを条件にすれば、これまでセキュリティ評価に費やされていた膨大な時間の短縮にもつながります。デジタル化推進における盤石なセキュリティの第一歩として、IT部門やセキュリティ・リーダーは、すぐにでもこれらのSaaSセキュリティへの取り組みを開始すべきです」
Gartnerは来る10月6~8日に、ガートナー セキュリティ&リスク・マネジメント サミット 2021をバーチャル (オンライン) で開催します。本サミットでは、デジタル・イノベーション時代のセキュリティに照準を合わせ、最高情報セキュリティ責任者 (CISO) およびセキュリティ・リーダーに向けた実践的な提言を行います。本プレスリリースに関連した内容は、前出の矢野が「アイデンティティとデータ・セキュリティの再考:SaaSをセキュアにするために」(10月7日、15:05~15:35) と題した講演で解説します。コンファレンスのニュースや最新情報は、Twitter (#GartnerSEC) でもご覧いただけます。
Gartnerのサービスをご利用のお客様は、リサーチノート「セキュリティ:何をどこまで実施すべきか (内部不正やミスによる情報漏洩) 2021年」で関連する内容をご覧いただけます。
日本で提供しているサービスについては、こちらよりご参照ください。https://www.gartner.co.jp/ja/products