金融庁のガイドラインが示すSaaSリスク──“SSPM”という新たなセキュリティ管理手法とは?
金融庁のガイドラインで注目されるSaaSリスク管理。
本記事では、クラウド時代のセキュリティ課題と「SSPM(SaaS Security Posture Management)」という新たな管理手法について解説します。
はじめに
2024年10月、金融庁は「金融機関等におけるサイバーセキュリティの管理態勢に関するガイドライン」を公表しました。この中で特に注目すべきは、SaaSやクラウドサービスの利用に伴うリスク管理が一層重視されている点です。
「アクセス制御の適切性」や「外部サービスとの連携管理」「情報共有の可視化」など、従来のセキュリティ対策では十分にカバーしきれない領域が浮き彫りになっています。
たとえば、ガイドラインでは次のような管理項目が【基本的な対応事項】として示されています:
- 情報公開設定の妥当性確認や、設定ミスの自動検出機能の活用(2.3.4.5③)
- SaaSサービス仕様変更時の影響確認(2.3.4.5④)
- 外部委託先(サードパーティ)リスクの継続的な評価と可視化(2.6)
こうした観点からも、企業に求められているのは、“設定の見える化”と“継続的なリスク管理”です。
SaaSの普及と見えにくいリスク
SaaSは業務効率化の中心的な存在となっていますが、その裏側で、以下のような“見えにくいセキュリティリスク”が発生しています:
- 各SaaSの設定ミスや権限の過剰付与
- 外部へのファイル共有やパブリックリンクの存在
- 他のSaaSアプリとの連携(SaaS to SaaS)による情報流出リスク
- 社内で把握されていない“シャドーIT”の利用
これらのリスクは、従来のセキュリティツールでは発見が難しく、属人化・後手対応になりがちです。
ISO 27001(ISMSにおける国際規格)をリファレンスにMicrosoft 365環境のリスク一覧 ダッシュボードを可視化した例。表示例では35件の問題があることが確認できます。
解決策:SSPM(SaaS Security Posture Management)という新たな選択肢
こうした背景から、SaaS環境に特化したセキュリティ管理として注目されているのが、SSPM(SaaS Security Posture Management)です。
SSPMは、以下のような機能を通じて、SaaSセキュリティのガバナンス強化と継続的なリスク低減を実現します:
- 各SaaSの設定・権限・共有状況の可視化
- リスク検出と自動的な是正対応
- ファイル共有・SaaS連携などの横断的なリスク管理
- 定期的なレポーティングによる運用レビュー
Microsoft 365において、個人アカウントに共有されているファイルを可視化した例。誰がどのファイルにアクセスできるかが一目で確認できます。
Valence Securityが提供するSSPMの価値
Valence Securityは、SSPM領域におけるリーディングプロバイダーとして、次のような特長を提供しています:
SaaS環境の可視化
- 設定不備、過剰権限、シャドーITを自動で検出
- ファイル共有の状況や公開リンクも可視化
SaaS間連携(SaaS to SaaS)のリスク管理
- 外部アプリケーションとの連携内容を把握し、リスクの高い連携を特定・制御
Policy機能による自動対処
- ポリシーに違反する構成や権限を自動検出し、管理者が是正アクションを簡単に実行可能
レポート機能で継続的な管理体制を支援
- 定期レポートでリスクの推移や対応状況を可視化し、ガバナンス対応や内部監査にも有効
セキュリティ改善の進捗を定量的に評価し、内部統制・監査にも活用できます。
まとめ
金融庁のチェックリストが示すように、SaaSのリスク管理は見落とされがちな新たな課題から、組織の責任領域へと変わりつつあります。SaaSを安全に活用するために、SSPMという考え方をいまこそ取り入れるタイミングではないでしょうか。
Valence Securityは、SaaS利用の可視化・自動対処・継続的管理という観点から、金融機関をはじめとした多くの組織に新たな選択肢を提供しています。
貴社のSaaSセキュリティ対策についてのご相談や、Valence Securityの詳細については、下記よりお気軽にお問い合わせください。
この記事の投稿者YH
この記事をシェア
