ホワイトペーパー
クラウドシフトにより、企業におけるクラウド利用は当たり前となりました。その一方で、SaaS の利便性はセキュリティ上の課題にもつながっており、SaaS にアップロードした機密情報の漏えいや、クラウドの業務システムの脆弱性をついたサイバー攻撃などの脅威が顕在化しています。そこで、SSPM (SaaS Security Posture Management) ベンダーであるValence Securityが実施した調査から、企業のSaaS 活用で明らかになった課題や潜在的リスク、そしてSaaS セキュリティの最新動向としてグローバル先進企業における2 つの導入事例を紹介します。
Valence Security(ベイレンス セキュリティ)では、企業におけるSaaS利用の拡大に伴い、高まるサイバーセキュリティの脅威、最新トレンド、インシデントを分析する目的で、調査を実施しました。調査は、Enterprise Management Associates(EMA)によるセキュリティ責任者125名へのアンケート調査と、「Valence SaaS Security Platform」における、数百のエンタープライズ向けSaaSアプリケーションから2024年に収集した実データを基にしています。
このレポートによると、96%のセキュリティ責任者が、SaaSセキュリティを「高」または「最優先事項」と認識していることが分かりました。SaaSセキュリティ予算が前年度より増加した企業は93%にのぼり、現状のSaaSセキュリティプログラムやプロセスについて、84%が「非常に自信がある」または「かなり自信がある」と回答しています。
しかし、58%の企業は過去12 ~ 18カ月の間にSaaSのセキュリティインシデントを経験しており、SaaSを狙ったサイバー攻撃が急増していると言えます。
例えば、2024年3月に発生した「Microsoft Midnight Blizzard」事例では、「Midnight Blizzard」と呼ばれるハッカー集団が、Microsoft社の幹部社員、セキュリティ部門、法務部門などの流出したメールアドレスに対し、MFA(多要素認証)を実施していないアカウントを狙ったパスワードスプレー攻撃を行い、Microsoft社の社内ネットワークに侵入しました。これにより、多数の機密情報が流出しています。
このようにSaaSを狙ったサイバー攻撃は企業規模を問わず増加し、被害も増大しています。そのような中で、自社のセキュリティ対策を検討していくには、まず、SaaSにおけるセキュリティトレンドを知っておく必要があります。
以下に示す調査結果は、現在のSaaSセキュリティのトレンドを分析し、セキュリティ責任者が既存のプロセスに対する信頼と、SaaSアプリケーションを完全に守る能力との間に懸念すべきギャップがあることを明らかにしています。
(1)SaaSセキュリティは高い優先事項
・96%のセキュリティ責任者が、SaaSセキュリティを「高」または「最優先事項」と認識
・93%の企業でSaaSセキュリティ予算が前年度より増加
・現在のSaaSセキュリティプログラムやプロセスへの自信は高く、84%が「非常に自信がある」または「かなり自信がある」と回答
(2)SaaSセキュリティインシデントの増加
・SaaSセキュリティに対する高い自信とは裏腹に、58%の企業が過去12 ~ 18カ月の間にSaaSセキュリティインシデントを経験
(3)高額被害をもたらしたSaaSセキュリティ侵害
・「Microsoft Midnight Blizzard」事件や、Okta攻撃キャンペーンに続く「Cloudflare」侵害など、SaaSを狙ったサイバー攻撃が急増
(4)SaaSセキュリティの主要課題
・50%がIT/セキュリティ部門外での分散管理を最も困難な課題と認識
・50%が生成AIの管理を主要課題と指摘
・43%がSaaS設定の複雑さを課題として挙げる
(5)SaaSセキュリティ対策ツールの変化
・52%がCASB(クラウドアクセスセキュリティブローカー)を使用
・48%がSSPMソリューションを導入
・CASBは長年使用されてきたが、SSPMの採用率がCASBに匹敵しており、このことはSaaSセキュリティ対策の転換点を示している
(6)未管理のSaaSデータ共有
・外部共有データの94%が非アクティブ(不要なデータ共有が継続している)
・適切なライフサイクル管理が不可欠
(7)過剰な権限を持つSaaSサードパーティ統合
・全ての企業(100%)が少なくとも1つのサードパーティベンダーにAPIアクセスを許可
・API連携のうち33%で機密データへのアクセスを許可
(8)生成AIの新たな脅威
・90%の企業が生成AIのガバナンスポリシーを導入
・データ流出や意図しないデータ出力のリスクへの懸念が高まる
セミナー
金融業界必見!今考えるべきセキュリティとは~2024年のペネトレーションテストとIaaSセキュリティ最新トレンド~
セミナー
クラウド時代に必要なセキュリティ対策セミナー
セミナー
Japan IT Week 春第16回 情報セキュリティEXPOに出展
セミナー
DNS管理の新時代:セキュリティ対策と運用管理を楽にするクラウドDNSとは
セミナー
Box World Tour Tokyo 2019
セミナー
TEDセキュリティソリューションご紹介セミナー~最新エンドポイントセキュリティ、クラウドサービスの可視化・制御を行うCASB、クラウドを利用した最新VDIからWifiセキュリティまで~
セミナー
Japan IT Week 春第17回 情報セキュリティEXPOに出展
ホワイトペーパー
【セキュリティ】SOAR コンセプトで“一段階上”のセキュリティ運用を実現
セミナー
ZDNet Japan Security Trend Autumn高まるセキュア アクセス サービス エッジ(SASE)への期待
セミナー
NTTデータ、Netskope、東京エレクトロンデバイス共催 ニューノーマルに対応する新しい働き方、ゼロトラストなデジタルワークスペース
セミナー
パブリッククラウドの運用をワンランクアップ!安全な利活用促進のアプローチ
セミナー
テレワークやクラウドを今よりセキュアにNetskope活用セミナー
