SaaSセキュリティ ポスチャー管理(SSPM)とは

企業がSSPMを必要とする理由

簡単に言えば、SSPMツールを導入することでSaaSアプリケーションとデータをより適切に保護して管理できるようになるからです。同時に、より効率的かつ効果的に以下を実現できます。

• 可視性を強化し、きめ細かなポリシーを施行することで、SaaSデータを特定して保護
• 最小特権アクセス制御を確立して実施し、アイデンティティーのリスクに対処
• 設定ミスや構成ドリフトに対応することで、SaaSクラウド ポスチャーを強化
• シャドーITを洗い出して監査し、リスクの高いアプリ統合を管理

現在、平均130種類のSaaSアプリが企業で使用されており(Vendr、2023年)、現代の作業環境には欠かすことのできない存在となっています。Google Workspace、Microsoft 365、Slackなどの一般的なプラットフォームやアプリが導入された組織では、ほぼすべての従業員が使用しているため、これらのツールには非常に多くの重要なビジネス データが集積されている可能性があります。このようなデータは大規模な侵害の主な原因となっている設定ミスによって公開される恐れがあり、実際にこうしたセキュリティ インシデントが頻繁に発生しています。

こうした実態にもかかわらず、SaaSセキュリティは多くの組織にとって依然として大きな死角となっています。SaaSアプリのセキュリティを軽視すると、セキュリティ部門が以下のような問題に対処する際にデータの損失、漏洩、脅威のリスクが大幅に高まります。

• 機密データの不十分な可視性：機密データの保存場所やSaaSプラットフォーム全体での利用状況などの可視性
• 危険なアクセスと権限：SaaSデータや組織全体をセキュリティ上の脅威にさらす過剰な権限付与
• リスクの高い設定ミス：ヒューマン エラー以外にも、アプリ間の複雑さや不一致に起因
• シャドーITの可視性の欠如：ユーザーが安全性の低いサードパーティー製アプリをSaaSプラットフォームに統合することで、データ漏洩のリスクが発生

SSPMの仕組み

SSPMは、以下の重要な機能を提供します。

• 継続的な監視：アイデンティティー、権限、設定ミス、統合、アドオンなど、機密データやSaaSのセキュリティ上のリスクを瞬時に可視化します。
• 構成評価：SaaSアプリのセキュリティ構成がベスト プラクティスに従っていること、また関連する業界や地域のコンプライアンス標準に準拠していることを確認します。
• 修復と対応：リスク トリアージやガイド付きの自動化されたポリシー施行などでセキュリティ ギャップを解消し、サイバー攻撃の潜在的な影響を最小限に抑えます。

SSPMの主な機能

SSPMの1つ以上の機能を担う、重要なソリューションとツールの一部を以下に紹介します。

• クラウド アクセス セキュリティ ブローカー(CASB):ユーザーとクラウド サービスの間に配置され、セキュリティとコンプライアンスを制御します。また、情報漏洩防止、脅威対策、アクセス制御などの機能も提供します。
• アイデンティティーとアクセス管理(IAM):ユーザーのアイデンティティー、ロール、権限を管理し、最小特権アクセス制御を施行します。
• 情報漏洩防止(DLP): SaaSアプリ内の機密情報の特定と保護、データ流出の防止、コンプライアンスの遵守を行います。
• セキュリティ情報とイベント管理(SIEM): SaaSアプリからイベントとログを収集および分析し、潜在的なセキュリティ インシデントやポリシー違反を特定して対応します。
• データ暗号化ツール：通常、SaaSアプリ自体に組み込まれており、保存データ(ストレージ内)と転送中データ(エンドポイントとサービス間)をエンコードして不正アクセスから保護します。
• 脆弱性管理ツール：SaaSアプリをスキャンして脆弱性や設定ミスを検出し、セキュリティ リスクを事前予防的に軽減します。
• APIセキュリティ ツール：APIベースの統合の一環として、SaaSアプリが他のシステムとやり取りするデータを保護します。
• ゼロトラストの原則：最小特権アクセス制御と厳格なユーザー認証によって確立されたコンテキストに基づくセキュリティ ポリシーを施行し、暗黙の信頼を排除します。

SSPMの主なメリット

SaaSデータの特定と保護：SaaSアプリに送信されるデータやSaaSアプリ内のデータを完全に可視化し、きめ細かなポリシーを施行してリスクの高い外部公開を制御します。

アイデンティティー リスクへの対応：ゼロトラスト アプローチを活用して過剰な権限付与を排除し、リスクの高いユーザー プロファイルによるSaaSアプリやデータへのアクセスを制限します。

SaaSクラウド ポスチャーの強化：SaaSプラットフォームを継続的に監視して危険な設定ミスを検出し、ヒューマン エラーや見落としが原因で発生したリスクの高い構成ドリフトを修正します。

リスクの高いアプリ統合の管理：SaaSのシャドーITを詳細に検出することでリスクの高いサードパーティー アプリの統合やアドオンを特定し、監査します。

SSPM、CASB、CSPMの比較

SaaSセキュリティ ポスチャー管理(SSPM)、クラウド アクセス セキュリティ ブローカー(CASB)、クラウド セキュリティ ポスチャー管理(CSPM)は、それぞれクラウド セキュリティの異なる領域に重点を置いています。

SSPMのユース ケース

SSPMはSaaS環境全体で継続的な監視、脅威検出、施行、脆弱性と設定ミスの修復を行うことで、以下を実現します。

• 地域や業界の標準とベンチマークへの準拠を管理
• データ侵害や不正アクセスなどにつながるリスクを軽減
• 脆弱性評価を実施し、セキュリティ ギャップを特定して解消
• シャドーITに関連するセキュリティ リスクを検出して評価し、軽減
• 侵害が発生した際のセキュリティ上の問題が与える影響を評価して修復

Zscaler Advanced SSPMのソリューション

Zscaler Data Protectionスイートの一部であるZscaler Advanced SSPMは、包括的な統合ソリューションとしてSaaSアプリやSaaSプラットフォーム全体にわたって完全なセキュリティを提供し、データの可視化、ポスチャー管理、ガバナンスに対応します。Advanced SSPMは、以下のような機能を通じてSaaSのリスクを迅速に特定し、脅威によるデータや組織の侵害を防ぎます。

• 危険な設定ミスの特定：情報漏洩や侵害につながりかねないセキュリティ ギャップや危険な統合から機密データを保護します。
• リスクのある統合や使われていない統合の廃止：すべてのSaaSプラットフォームの統合を精査し、リスクの高い接続を解除することで攻撃対象領域を縮小します。
• ゼロトラスト アクセスの適用：SaaSへのアクセスに最小特権の原則を必ず適用し、過剰な特権を持つアイデンティティーや許可を取り消します。
• セキュリティ態勢とコンプライアンスの維持：SaaSセキュリティを継続的に監視し、組織全体でコンプライアンスを維持します。

Zscaler Advanced SSPMは、SaaSデータの検出と保護、アイデンティティーのリスクへの対処、SaaSクラウドのセキュリティ態勢の強化、危険なアプリケーション統合の管理を通じて、SaaSセキュリティの完全な制御を実現します。

詳細はデモを依頼してご確認ください。