SSPMってなんだろう？

SSPMを一緒に勉強しよっ？

みなさん、こんにちは！

セキュリティ技術よわよわ絶賛お勉強中のつばさちゃん@令和最新版です。

今回はSSPM (SaaS Security Posture Management)について勉強していきたいと思います。

セキュリティ担当者必見！多様化するクラウドセキュリティ

クラウドセキュリティというと、一見するとよく分からない横文字が並んできます。例えば、

CSPM (Cloud Security Posture Management)
DSPM (Data Security Posture Management)
SSPM (SaaS Security Posture Management)
ASPM (Application Security Posture Management)
CWPP (Cloud Workload Protection Platform)
CNAPP (Cloud-Native Application Protection Platform)
CIEM（Cloud Infrastructure Entitlement Management）

などなど、様々な横文字が挙げられるかと思います。
“~SPM”（Security Posture Management)というキーワードが目立ちますが、日本語に直訳すると”セキュリティ態勢管理”ということになり、あるクラウドの管理対象に対し”セキュリティ態勢管理”を行うソリューションです。

CNAPP (Cloud-Native Application Protection Platform)は、クラウドネイティブアプリケーション全体を保護するための統合プラットフォームとなり、当社で既に取り扱いをしているクラウドセキュリティ商材のCNAPPソリューション”Wiz”はCNAPPに加え、DSPMやCIEMの機能も備えています。

クラウドセキュリティに対し包括的なソリューションを提供しているWizですが、そんなWizでもカバーすることが難しい分野があるらしいです。その謎を探るべく、我々はアマゾンの奥地に向かいました—―—。

SaaS利用の現状とセキュリティ上の課題

現代の企業は、業務効率化やコスト削減のためにSaaSを広く利用しています。
しかし、その普及に伴い、以下のようなセキュリティ上の課題が浮き彫りになっているようです。

設定ミスによるデータ漏えいリスク
不適切なアクセス権限管理
サイバー攻撃の脅威
コンプライアンス遵守の難しさ
可視性の欠如
複数のSaaSの一元管理の難しさ

SSPMとは？

SSPM（SaaS Security Posture Management）は、SaaSに対するセキュリティ管理とガバナンスを提供するためのソリューションです。
SSPMは組織が利用するSaaSの設定、権限管理、コンプライアンス状況を継続的に監視・評価し、潜在的なセキュリティリスクを特定する、もし設定不備があった場合は管理者に通知しセキュリティリスクを軽減することを目的としたソリューションです。

“あるある”SaaSうっかりミス

“SaaSのうっかりミス”、というと致命的なものから軽微なものまで大小様々なものがありますが、ここでは少し具体的な例を考えてみました。皆様も実はやってしまったことがある、ということがあるのではないでしょうか？

ユーザーがOneDriveから「すべてのユーザー」のリンクを使用して、社外の担当者と機密情報であるドキュメントを共有した
作成したプログラムのコードをトラブルシューティングするために、協力会社にGitHubリポジトリへのアクセスを許可した
Salesforceの管理者がユーザーを追加した際に、SSOを有効にせずアクセスできるようにした
営業部がZoomへのAPI接続を有効にし、すべての通話録音にアクセスできるようにした
ユーザーが機密文書の編集と共有のために、Boxを使用した
ユーザーがSlackチャネルに対し、3rd-PartyアプリケーションをBotとしてチャネルに追加した

SSPMが求められている理由

– 急速なSaaS利用の拡大と手動対応の限界
SaaSの利用が急拡大していく中で、組織がどのSaaSを使用しているかを把握する必要があります。しかし、SaaSの利用状況を把握できたとしてもSaaSの詳細な設定までは精査できていない現状があるかと思います。手動での設定ミスや未知のセキュリティリスクが大きな脅威となるため、自動化された管理が必要となってきます。

– SaaS側の仕様変更やアップデートに追随できない
仕様変更やアップデートが自動且つ頻繁に行われるのがSaaSのメリットではありますが、逆にSaaS側の仕様変更やアップデートがセキュリティ上のリスクになることがあります。これらの仕様変更やアップデートがセキュリティに与える影響をリアルタイムで監視し、迅速に対応する必要が出てきています。

– セキュリティポリシーの一元管理
各SaaSの設定やセキュリティポリシーが複雑化しており、これらを一元的に管理する必要があります。多くの企業が複数のSaaSを利用しているため、異なるSaaS間でのセキュリティポリシーをどのように管理していくか？が課題となってきています。

– コンプライアンス要件の厳格化
企業のコンプライアンス要件が厳格化する中で、SaaS環境が規制や法令に準拠しているかどうかを継続的に確認することが必要となってきており、コンプライアンスチェックを自動化し、違反のリスクを低減することが求められています。

このSaaSの設定はＸで～、こっちのSaaSは管理者権限はNG・・？、よく分からないよ～・・・゜・。｡ﾟ(ノдヽ)ﾟ。

CSPMとの違い

CSPM（Cloud Security Posture Management）とSSPMは、共にクラウド環境のセキュリティを管理するソリューションですが、以下の点で差異があります。

対象範囲

CSPMはIaaS（Infrastructure as-a-Service）やPaaS（Platform as-a-Service）を含むクラウドインフラ全体のセキュリティ設定を管理します。一方、SSPMは主にSaaSアプリケーションに特化しています。

アプローチ

CSPMは、クラウドリソースの設定ミスやセキュリティリスクを特定し、全体的なクラウドセキュリティの改善を目指します。SSPMは、SaaSの設定、ユーザー権限、データ保護に焦点を当てます。

SSPMのメリットと解決できる課題

1. 設定ミスによるデータ漏洩リスク

多くのSaaSはデフォルト設定やユーザーによる設定ミスが原因でデータ漏えいのリスクを抱えています。SSPMは各SaaSの設定を継続的に監査し、ベストプラクティスに沿っていない設定を特定し、設定ミスを検出した場合はセキュリティ担当者に警告を発します。

2. 不適切なアクセス権限管理

SaaSにおいて、ユーザーの権限が適切に管理されていないと、内部不正やデータ漏えいのリスクが高まります。SSPMはユーザーの権限を継続的に監視し、過剰な権限を持つユーザーや不要なアクセス権限を特定します。また、一元的なロールベースアクセス制御（RBAC）の適用を支援することも可能です。

3. サイバー攻撃の脅威

SaaSはインターネットを介してアクセスされるため、サイバー攻撃の標的となり易い性質があります。SSPMは不審な活動をリアルタイムで監視し、異常な行動パターンを検出してアラートを発出することより、早期に攻撃を発見し対策を講じることができます。

4. コンプライアンス遵守の難しさ

GDPRやHIPAAなどの法規制に準拠するためには、SaaSの設定やデータ処理方法を適切に管理する必要があります。SSPMは各法規制やコンプライアンス要件に基づいた監査を自動的に実施し、必要なレポートを生成ことにより、コンプライアンスを確実に遵守することができます。

5. 可視性の欠如

多くのSaaSを利用する中で、企業全体のセキュリティ状況を把握するのが困難となりつつあります。SSPMはすべてのSaaSのセキュリティ状況を統合的に可視化し一元的な管理を実現します。WebGUIから提供されるダッシュボードを通じて、SaaSのリアルタイム稼働状況を確認することができます。

6. 複数のSaaSの一元管理の難しさ

各SaaSごとに個別のセキュリティ対策を実施するのは、非常に手間が掛かります。SSPMは複数のSaaSを一元管理し、共通のセキュリティポリシーを適用することで、セキュリティ担当者の管理負担を軽減します。

いかがでしたか？

SaaSの利用拡大に伴い、企業は多くのセキュリティ上の課題に直面しています。
SSPMは、設定ミスや不適切な権限管理、サイバー攻撃の脅威、コンプライアンスの確保など、様々なセキュリティ課題を効果的に解決するための効果的なソリューションです。
SSPMを導入することにより、企業はSaaSの利便性を享受しつつ、安全かつ効率的に業務を進めることができます。
企業が直面するセキュリティリスクやコンプライアンス要件を管理しつつ、SaaSの利便性を最大限に活用するために、SSPMの導入は今後さらに重要となるでしょう。

参考：DALL-Eの生成AIによる画像を使用