Written by Aimee
目 次
SSPM(SaaS Security Posture Management)とは、クラウド環境で利用されるSaaSアプリケーションのセキュリティ設定を監視・評価し、正しい設定に導くためのセキュリティソリューションです。
主な機能としては
- SaaSの「セキュリティリスク」の検出
- セキュリティリスクの「可視化」と「定期的な監視・分析」
- 「コンプライアンス遵守」の支援
などが挙げられます。
SSPMを導入することで、クラウドの設定ミスを継続的に防止できるだけでなく、「SaaS管理の一元化による運用負荷の軽減」や「コンプライアンス管理の工数削減」といったメリットが期待できます。
このSSPMと類似するサービスに「CSPM」があります。
SSPMとCSPMの違いは「評価対象」でありSSPMは「SaaS」を、CSPMは「IaaS/PaaS」をそれぞれ評価します。
・SaaSアプリの例:Google Workspace、Microsoft 365 など
・IaaS/Paas アプリの例:AWS、Azure、 Google Cloud Platform など
またSSPMと同じく、クラウドサービスに関するセキュリティソリューションに「CASB」があります。
両者は機能や目的が異なっており、SSPMがSaaSの設定不備によるインシデントを未然に防ぐことに特化しているのに対し、CASBはクラウドを利用する従業員のリスクある挙動を事後的に検知することに特化しています。
この記事では、SSPMの概要や導入のメリットについて、わかりやすく解説いたします。
▼この記事を要約すると
- SSPMとは、SaaSにおける「セキュリティ上の設定不備」を検出し、管理者へ通知することで、適切な対応を促すセキュリティソリューション
- SSPMとCSPMの主な違いは「評価対象」。SSPMは「SaaS」、CSPMは「IaaS/PaaS」を評価する
- SSPMとCASBの違いとして、SSPMはSaaSの設定不備によるインシデントを未然に防ぐことに特化しているが、CASBはクラウドを利用する従業員のリスクある挙動を事後的に検知することに特化している
- SSPMが必要とされる主な背景としては、現代のビジネス環境におけるクラウド利用の拡大、それに伴うセキュリティ課題の増加がある
- SSPMを導入することで、クラウドの設定ミスを継続的に防止できるだけでなく、SaaS管理の一元化やコンプライアンス管理の工数の削減も可能になる
- 同じくクラウド環境の設定状況をチェックするサービスとして「クラウドセキュリティ診断」がある
SSPMとは
SSPMとは、SaaS(Software as a Service)における「セキュリティ設定」の監視・評価・管理を行うためのセキュリティソリューションです。不正アクセスや情報漏洩に繋がるような「SaaSの設定」におけるセキュリティ課題を洗い出し、管理者に適切な対処を促すのがSSPMの役割です。
SaaSとは、クラウドサービスの一種です。クラウドサービスを活用することで、PCや端末にソフトウェア・アプリケーションをダウンロードすることなく、オンライン上でサービスを利用することが可能です。
代表的なSaaSとして、以下のようなものが挙げられます。
▼SaaSの代表例
Microsoft 365
Salesforce
Google Workspace
Zoom
Slack
例えば業務でよく利用される、Teams や Sharepoint、OneDrive といったアプリケーションは、SaaSに該当する「Microsoft 365 」サービスの一部です。
「インターネットさえあれば、あらゆるデバイスで、どこからでも利用できる」という利便性から、SaaSは今や企業にとって欠かせない存在と言えるでしょう。
しかしながら、SaaSにはさまざまなセキュリティリスクが潜んでいます。
SaaS利用時のセキュリティリスクとは?
SaaS利用時のセキュリティリスクの例として、以下が挙げられます。
アクセス権限の誤設定
本来、各従業員が必要な情報にのみアクセスできるよう、アクセス権限が設定されているのが望ましい状態です。
仮に、アクセス権限が適切に設定されておらず、重要な情報の閲覧やシステム管理が誰でも行える状態にあると、情報漏洩や不正アクセスのリスクを高めてしまいます。
また、SaaSの仕様変更によってアクセス権限の設定が変更されてしまうこともあり、気づかないうちに社外からのアクセスが可能になってしまう危険性もあります。
アカウント管理の不備
SaaSを利用する場合、利用する従業員の数だけアカウントを作成するのが一般的です。
そのため、従業員が異動したり、退職したりした際は使用しなくなったアカウントを速やかに削除する必要があります。
というのも、異動・退職した従業員のアカウントや権限を削除せずに放置してしまうと、情報漏洩を招く恐れがあるからです。
実際、IPAが公開した「企業における営業秘密管理に関する実態調査2020」によれば、営業秘密の漏えいルートで最も多かったのは、「中途退職者」による漏えいで、前回より増加し、36.3%と最多になりました。
出典:IPA|「企業における営業秘密管理に関する実態調査2020」報告書について(2021年3月18日)
「SSPM」ツールを使用することで、自社が使用しているSaaSのセキュリティ設定を見直し、組織で定めたセキュリティポリシーに準拠しているか、安全な状態が保たれているかを確認することができるので、上記のようなリスクを回避することができます。
SSPMが必要とされる背景
企業のセキュリティ対策の一環として、SSPMの導入が必要とされる主な要因に
- 現代のビジネス環境における「クラウドサービス利用」の拡大
- それに伴うセキュリティ課題の増加
があげられます。
SaaSの市場規模は年々拡大傾向にある
クラウドサービスの普及に伴い、SaaSの国内利用率は右肩上がりで増加しています。
IDCの調査によると、新型コロナウイルスの影響などを背景に、従来のオンプレミス環境から働き方の多様化を促進する、クラウドへの移行が進行しているとのこと。
この結果、日本のパブリッククラウドサービス市場規模は持続的に成長しており、2026年までには4兆円に達すると予測されています。
出典:IDC|国内パブリッククラウドサービス市場予測を発表(2022年9月15日)
また、SaaS市場の市場規模も年々拡大しており、SaaSマーケティングプラットフォームを提供する企業調査によれば、国内のSaaS市場は年平均成長率約13%にのぼり、2024年には市場規模が約1兆1,200億円に達すると示唆されています。
出典:スマートキャンプ株式会社|SaaS業界レポート2020
このように利便性の高いクラウド・SaaSの普及が進む一方、その脆弱性を狙う悪質な攻撃者により、クラウドに起因するセキュリティ事件が増加しています。
過去にはSaaSの設定ミスで、企業や自治体が情報漏洩した事例も
2021年1月、38の自治体や国内企業において、SaaSの設定不備により、個人情報が外部から閲覧できる状態となっていたことが発覚しました。内閣サイバーセキュリティセンター(NISC)は、いくつかの主要なインフラ事業者に向けて警告を発しています。
情報漏洩の原因は、いずれも利用する自治体や企業による「公開範囲の設定ミス」であり、改めてクラウドサービスの「セキュリティ設定の重要性」がわかる事件となりました。
こういったクラウドサービス設定による情報漏洩リスクを軽減するには、SSPMやCSPMといった設定評価ツールを使用することが効果的です。また専門の診断士が手動で正しい設定を行う「クラウドセキュリティ診断」を受けることも有効でしょう。
クラウドセキュリティ診断は細やかな設定の見直しを、知識あるベンダーに任せられるため、知見やリソースのない企業も安心して利用できる、といったメリットがあります。
SSPMとCSPMとの違い
SSPMと類似するサービスに「CSPM」があります。
CSPM(Cloud Security Posture Management)とは、SSPMと同様、クラウドサービスの設定における問題点を洗い出し、管理者に適切な対応を促すセキュリティソリューションです。
SSPMとCSPMの違いは、ずばり「評価する対象」です。SSPMはSaaSの設定を評価する一方、CSPMはIaaS/PaaSなどクラウドインフラ全体の設定を評価する点が異なります。
| SSPM | CSPM | |
|---|---|---|
| 対象 | SaaS | IaaS/PaaS |
| 機能 |
|
|
上記のように、CSPMとSSPMの基本的な目的や機能は同様であり、評価対象のサービスが「SaaS」か「IaaS/PaaS」かで、両者を使い分けることとなります。
SSPMとCASBとの違い
SSPMと同様、クラウドサービスに関するセキュリティソリューションに「CASB(Cloud Access Security Broker)」があります。CASBは従業員によるクラウドサービスの利用を可視化・制御し、一括管理するソリューションです。
SSPMとCASBはどちらもクラウドセキュリティに関連するソリューションですが、対象や機能に違いがあります。
| SSPM | CASB | |
|---|---|---|
| 対象 | SaaS | SaaS、IaaS、PaaS |
| 機能 |
|
|
SSPMはSaaSを対象としていますが、CASBはSaaSだけでなくIaaS、PaaSも含めたクラウドサービス全体を対象としています。
SSPMの主要な機能は、SaaSの設定不備を可視化することです。これにより、事前に対策を取り、インシデントを未然に防ぐことができます。CASBはクラウドを利用する従業員のリスクある挙動を検知する機能が備わっており、それらの挙動を防ぐことができるものもあります。
企業はクラウドセキュリティ要件に応じてどちらを選択するか、または両方を組み合わせて使用するか検討する必要があります。
SSPMの主な機能
SSPMの主な機能は、以下の3つです。
- SaaSの「セキュリティリスク」の検出
- セキュリティリスクの「可視化」と「定期的な監視・分析」
- 「コンプライアンス遵守」の支援
1.SaaSの「セキュリティリスク」の評価
SSPMは、組織が定めたセキュリティポリシーをもとに、SaaS設定の評価をします。
SaaSにおける設定ミスやコンプライアンス違反を検出することで、不正アクセスや情報漏洩といったリスクに繋がる、インシデントの芽を早急に摘むことができます。
組織で事前に取り決めたセキュリティポリシー・規制要件に、現在の設定が合致しているかも確認できるため、企業はセキュリティポリシーを遵守しクラウドの安全な状態を維持することが可能です。
2.セキュリティリスクの「可視化」
SSPMは、SaaS環境におけるセキュリティリスクを可視化し、セキュリティ設定やリスクの状態が一目で把握できるようになっています。これにより管理者は「クラウド設定のどこに不備があるか」をすぐに確認し、適切な対処に取り組むことが可能となります。
3.自動でおこなわれる「定期的な監視」と「分析」
SSPMではSaaS環境を定期的に監視するため、新たなリスクが発生した場合も早期に検出することができます。設定の監視はツールが自動で行うため、管理者の作業工数を減らし効率的にセキュリティ運用を行えるようになるでしょう。
また収集したデータを分析し、セキュリティリスクやコンプライアンス違反の傾向を特定することで、将来発生しうるリスクの予測・対策を行うことも可能です。
SSPMを導入するメリット
SSPMを導入することで、以下のようなメリットが期待できます。
- クラウドの設定ミスを「継続的」に防止できる
- SaaS管理を一元化し、運用負荷を軽減できる
- コンプライアンス管理の工数を削減できる
1.クラウドの設定ミスを「継続的」に防止できる
1つ目のメリットは、クラウドの設定ミスを「持続的」に監視し対策できることです。SSPMには、SaaSのセキュリティ設定とアクティビティを「自動で監視」する機能があります。
SSPMが定期的にSaaSの設定を調査し、設定不備やリスクを報告するため、クラウドサービスを「継続的」に安全な状態で利用することが可能です。仮に問題を検知した際は、警告やアラートにて管理者に通知してくれます。
2.SaaS管理を一元化し、運用負荷を軽減できる
2つ目のメリットは、異なるSaaSのセキュリティ設定・アクティビティを、SSPMで一元管理できることです。
複数のSaaSプラットフォームより収集した情報を、1つのダッシュボードで確認できるため、管理者は統合的かつ効率的なセキュリティ管理が可能となります。
3.コンプライアンス管理の工数を削減できる
3つ目のメリットは、クラウドサービス設定が「コンプライアンスを守れているか」を、効率的に確認できることです。
SSPMは、事前に設定されたセキュリティポリシーに基づき、SaaSの設定を監視します。自動化されたコンプライアンスチェックにより、管理者は手動でルールの確認・設定見直しを行う作業を削減できるのです。
製品によってはコンプライアンスに関するレポートを自動的に生成することも可能なため、監査やコンプライアンス報告にかかる時間と労力を削減できます。
SSPM導入時のポイント
SSPM製品の導入を考えている方は、以下のポイントを事前に確認するようにしましょう。
・対応しているSaaSの種類
・評価後の対応
・サポート体制やアップデート頻度
・自社のセキュリティポリシーへの適合
対応しているSaaSの種類
SSPM製品によって、評価できるSaaSは異なります。
SSPM製品を導入したものの、自社で利用しているSaaSに対応していなかった、ということがないように、必ず対応しているSaaSの種類を確認しておきましょう。
評価後の対応
SSPM製品は、あくまでSaaSのセキュリティリスクを検出し、対応策を提示するものであり、設定変更など実際の対応を行うのはSaaSの管理者です。
そのため
- どのセキュリティリスクから優先して対応していけばよいのか
- どういった手順で対応すればよいのか
など、リスク対応を支援してくれるような機能があるものを選ぶと、運用がしやすくなります。
サポート体制やアップデート頻度
サポート体制が整っているかも非常に重要な点です。
スムーズに対応してもらうためにも、できれば日本語でのサポートを提供している製品がおすすめです。
また、定期的なアップデートを行っているSSPM製品であれば、最新の基準に則って監視を行ってくれます。
自社のセキュリティポリシーへの適合
SSPMは、組織が定めたセキュリティポリシーをもとに、SaaS設定の評価をします。
そのため
- アクセス権限の設定状況
- データ共有の設定状況
- 多要素認証の設定状況
などに対応できるかなど、組織で事前に取り決めたセキュリティポリシー・規制要件にあわせた評価が可能かどうか、チェックしましょう。
SSPM導入の流れ
以下の6つのステップに沿って、SSPMの導入を進めていきます。
- 自社で使っているSaaSのセキュリティ状況の把握・ニーズや要件の洗い出し
- SSPMを選定
- 導入計画を策定
- SSPM導入
- 担当者への教育
- 運用および継続的な改善
1.自社で使っているSaaSのセキュリティ状況の把握・ニーズや要件の洗い出し
まずは自社で利用しているSaaSの評価を行い、潜在的な脆弱性を特定しましょう。
同時に企業・組織ごとに遵守すべき法規制・コンプライアンス要件なども明らかにしておきます。
2.SSPMを選定
複数のSSPMソリューションを比較し、企業の規模やセキュリティニーズに合ったものを選定しましょう。ツールの機能、対応SaaS、適用範囲、カスタマイズ性、サポート体制などを検討します。
可能であれば無料版を試しに使ってみて、操作性などを確認しておくことをおすすめします。
3.導入計画を策定
具体的なスケジュールやタスク、担当者の役割分担などを検討し、導入計画を作成しましょう。社員への通知・トレーニングのスケジュールなども併せて行います。
ある程度の導入コストがかかるため、あわせて予算も明確にしておきましょう。
4.SSPM導入
選定したSSPMを、企業の本番環境に導入します。これには、各種設定や構成、既存のSaaSとの統合作業が含まれます。
正しく動作し、診断項目が期待通りに調査されるか確認しましょう。
5.担当者への教育
SSMPソリューションの使用方法やセキュリティイベントの解釈方法を、担当者にレクチャーします。トレーニングを通じて、SSPMを活用したセキュリティ設定の確認・対応を身に着けてもらいます。
担当者への教育とあわせて、策定した「クラウド利用におけるセキュリティーポリシー」を、全社員が共通で遵守できるよう呼びかける働きも重要です。
6.運用および継続的な改善
定期的な監視や診断結果の分析を通じて、SSPMの運用を継続的に実施・改善します。
ユーザーフィードバックや新たなセキュリティ要件に基づき、各種設定やポリシーを適宜調整しましょう。
SaaS環境の設定診断なら、プロが提供する「クラウドセキュリティ診断」もおすすめ
SSPMと同じく、クラウド環境の設定状況をチェックするサービスに「クラウドセキュリティ診断」があります。
クラウドセキュリティ診断は、SaaSをはじめクラウド環境全体の設定やセキュリティ状況を定期的に評価し、潜在的な脆弱性や設定不備を指摘、改善をおこなうサービスとなります。
SSPMとクラウドセキュリティ診断の違い
SSPMとクラウドセキュリティ診断の大きな違いは、クラウド環境の設定状況を自動でチェックするか、手動でチェックするかという点です。
SSPMの場合は事前に連携設定を行い、主に自動で設定チェックを行いますが運用や導入時の準備などは、自社でどのような項目をチェックするのかなどの設定が必要となります。
対してクラウドセキュリティ診断の場合、セキュリティの専門家が「手動」でチェックを行う点が特徴です。
単発でベンダーへ依頼する「クラウドセキュリティ診断」に対し、一度導入すれば継続的に設定の検知を行える点で、「持続性」の面ではSSPMが秀でていると言えます。
▼SSPMとクラウドセキュリティ診断の比較
| クラウドセキュリティ診断 | SSPM | |
|---|---|---|
| 評価の主体 | 人間が評価 | ソフトウェアが評価 |
| 柔軟性 | ○(高い) | ×(低い) |
| 診断項目数 | ○ | △ |
| 最新の内容で診断可能か | ○ | ×(ベンダーに依存) |
| 持続性 | ×(定期的な実施が必要) | ○ |
| クラウドサービス仕様変更への対応 | ○ | △ |
| 専門知識 | 不要 | 必要 |
ただし、常に「最新の診断項目」でチェックできる点や、各種クラウドサービスの仕様変更に対応できるといった「柔軟性」の面では、人的に行われるクラウドセキュリティ診断が適していると言えます。
また運用にある程度の知識と経験が必要なSSPMに対し、専門家へ全面的に調査を任せられるクラウドセキュリティ診断は、知識や経験を問わず利用できるといったメリットもあります。
「社内にセキュリティに詳しい担当者がおり、自社での運用が可能」であればSSPMを、社内でクラウドやセキュリティへの知見が少なく「プロに外注したい」場合はクラウドセキュリティ診断を利用するなど、自社の環境や目的に応じて適したサービスを検討すると良いでしょう。
SSPMと併用したい、LANSCOPE プロフェッショナルサービスの「クラウドセキュリティ診断」
クラウドセキュリティ対策を万全にする上で、SSPMはとても心強いセキュリティソリューションです。ただし自社の知識やリソースが十分でない場合、SSPMの運用は困難かもしれません。
LANSCOPE プロフェッショナルサービスでは、主要なIaaS・SaaSサービスで実施可能な「クラウドセキュリティ診断」を提供しています。
クラウドセキュリティ診断では、知識豊富な当社のエキスパートが、ご利用中のクラウドサービスにて「アクセス権限」「ログインの認証方法」など、インシデントの根源となりうる設定項目の調査と洗い出しを実施。
選定したクラウド環境の不備や脆弱性について、最適な対処方法をお伝えします。
また、常に各クラウドサービスの専門家が、CISベンチマークやJPCERT・IPAなどの発信する情報を収集し、診断ルールへ反映するため、いつでも最新のセキュリティルールに則った診断サービスの提供が可能です。
SaaSをはじめ、対応できるクラウドサービスは多岐にわたるため、幅広いお客様の「クラウドに関する情報漏洩対策」にお力添えできます。
▼主要なサービス一覧
Microsoft 365 セキュリティ診断
Google Workspace セキュリティ診断
Salesforce セキュリティ診断
Amazon Web Services(AWS)セキュリティ診断
Microsoft Azure セキュリティ診断
Google Cloud Platfor (GCP)セキュリティ診断
Zoom セキュリティ診断
Box セキュリティ診断
Slack セキュリティ診断
サービスの詳細は、以下のページよりご確認ください。
まとめ
本記事では「SSPM」をテーマに、その概要や機能について解説しました。
本記事のまとめ
- SSPMは、SaaSでの不審なアクティビティやセキュリティインシデントを監視し、セキュリティの評価、管理まで行うセキュリティソリューション
- 現代のビジネス環境におけるクラウド利用の拡大とそれに伴うセキュリティ課題の増加により、SSPMに注目が集まっている
- SSPMを導入することで、運用者の管理工数を削減し、持続的かつ効率的にSaaSサービスの設定を管理できる
- SSPMを導入する際は、自社のニーズに合った「機能」「要件」を満たしているか確認する
- SSPMやCSPMとあわせて、クラウドサービスの設定診断をプロに依頼できる「クラウドセキュリティ診断」も検討すると良い
クラウドサービスのセキュリティ対策は、今や企業・組織において避けられない課題と言えます。ぜひ、本記事で紹介したCSPMやクラウド診断も参考に、安心して業務に臨めるクラウド環境の構築に取り組んでいただければと思います。
また弊社では、中小企業の情報システム担当者1,000名を対象に『クラウドセキュリティに関する実態調査』を行いました。
- クラウドサービスに対して、セキュリティ対策は行えているか?
- 監査ログによる定期チェックや監視は行えているか?
- 過去、クラウド経由でどういったインシデントが発生したか?
などの情報をレポートにまとめています。ぜひ自社のクラウドセキュリティ対策の参考にご活用ください。
おすすめ記事
