SSPM（SaaS Security Posture Management）とは、SaaSのセキュリティ設定を監視・評価し、正しい設定に導くためのセキュリティソリューションです。

クラウドサービスの情報漏洩被害が後を絶たない昨今、主な原因はクラウド自体の「設定不備」と言われています。設定不備が発生する要因として「サービス利用者が仕様を理解できていない」「クラウドのバージョンアップに伴う仕様変更に、設定が対応できていない」などの問題があげられます。

よってクラウドサービスを安全に使用するためには、設定不備にいち早く気づき、適切な設定対応を行う必要があります。クラウドの設定不備を自動で検知し、管理者へ通知・対策を促すサービスが「SSPM」です。

この記事では、SSPMの概要や導入のメリットについて、わかりやすく解説いたします。

また弊社では、中小企業の情報システム担当者1,000名を対象に『クラウドセキュリティに関する実態調査』を行いました。

などの情報をレポートにまとめています。ぜひ自社のクラウドセキュリティ対策の参考にご活用ください。

SSPMとは

SSPMとは、SaaS（Software as a Service）における「セキュリティ設定」の監視・評価・管理を行うためのセキュリティソリューションです。不正アクセスや情報漏洩に繋がるような「SaaSの設定」におけるセキュリティ課題を洗い出し、管理者に適切な対処を促すのがSSPMの役割です。

SaaSとは、クラウドサービスの一種です。クラウドサービスを活用することで、PCや端末にソフトウェア・アプリケーションをダウンロードすることなく、オンライン上でサービスを利用することが可能です。

代表的なSaaSとして、以下のようなものが挙げられます。

▼SaaSの代表例
Microsoft 365
Salesforce
Google Workspace
Zoom
Slack

例えば業務でよく利用される、Teams や Sharepoint、OneDrive といったアプリケーションは、SaaSに該当する「Microsoft 365 」サービスの一部です。

「インターネットさえあれば、あらゆるデバイスで、どこからでも利用できる」という利便性から、SaaSは今や企業にとって欠かせない存在と言えるでしょう。

「SSPM」ツールを使用することで、自社が使用しているSaaSのセキュリティ設定を見直し、組織で定めたセキュリティポリシーに準拠しているか、安全な状態が保たれているかを確認することができます。

SSPMとCSPMとの違い

SSPMと類似するサービスに「CSPM」があります。

CSPM（Cloud Security Posture Management）とは、SSPMと同様、クラウドサービスの設定における問題点を洗い出し、管理者に適切な対応を促すセキュリティソリューションです。

SSPMとCSPMの違いは、ずばり「評価する対象」です。SSPMはSaaSの設定を評価する一方、CSPMはIaaS/PaaSの設定を評価する点が異なります。

	SSPM	CSPM
対象	SaaS	IaaS/PaaS
機能	設定の評価・アラート通知等 脆弱性の検出・インシデントへの自動対応が可能な製品もある	設定の評価・アラート通知等 脆弱性の検出・インシデントへの自動対応が可能な製品もある

上記のように、CSPMとSSPMの基本的な目的や機能は同様であり、評価対象のサービスが「SaaS」か「IaaS/PaaS」かで、両者を使い分けることとなります。

SSPMとCASBとの違い

SSPMと同様、クラウドサービスに関するセキュリティソリューションに「CASB（Cloud Access Security Broker）」があります。CASBは従業員によるクラウドサービスの利用を可視化・制御し、一括管理するソリューションです。

SSPMとCASBはどちらもクラウドセキュリティに関連するソリューションですが、対象や機能に違いがあります。

	SSPM	CASB
対象	SaaS	SaaS、IaaS、PaaS
機能	セキュリティ設定の問題を可視化 SaaSの継続的な監視 リスクをアラートで通知 複数のSaaSを一元管理	クラウドへのアクセスを監視 脅威をブロック データの保護

SSPMはSaaSを対象としていますが、CASBはSaaSだけでなくIaaS、PaaSも含めたクラウドサービス全体を対象としています。

SSPMの主要な機能は、SaaSの設定不備を可視化することです。これにより、事前に対策を取り、インシデントを未然に防ぐことができます。CASBはクラウドを利用する従業員のリスクある挙動を検知する機能が備わっており、それらの挙動を防ぐことができるものもあります。

企業はクラウドセキュリティ要件に応じてどちらを選択するか、または両方を組み合わせて使用するか検討する必要があります。

SSPMが必要とされる背景

企業のセキュリティ対策の一環として、SSPMの導入が必要とされる主な要因に

があげられます。

SaaSの市場規模は年々拡大傾向にある

クラウドサービスの普及に伴い、SaaSの国内利用率は右肩上がりで増加しています。

IDCの調査によると、新型コロナウイルスの影響などを背景に、従来のオンプレミス環境から働き方の多様化を促進する、クラウドへの移行が進行しているとのこと。

この結果、日本のパブリッククラウドサービス市場規模は持続的に成長しており、2026年までには4兆円に達すると予測されています。

出典：IDC｜国内パブリッククラウドサービス市場予測を発表（2022年9月15日）

また、SaaS市場の市場規模も年々拡大しており、SaaSマーケティングプラットフォームを提供する企業調査によれば、国内のSaaS市場は年平均成長率約13%にのぼり、2024年には市場規模が約1兆1,200億円に達すると示唆されています。

出典：スマートキャンプ株式会社｜SaaS業界レポート2020

このように利便性の高いクラウド・SaaSの普及が進む一方、その脆弱性を狙う悪質な攻撃者により、クラウドに起因するセキュリティ事件が増加しています。

過去にはSaaSの設定ミスで、企業や自治体が情報漏洩した事例も

2021年1月、38の自治体や国内企業において、SaaSの設定不備により、個人情報が外部から閲覧できる状態となっていたことが発覚しました。内閣サイバーセキュリティセンター（NISC）は、いくつかの主要なインフラ事業者に向けて警告を発しています。

情報漏洩の原因は、いずれも利用する自治体や企業による「公開範囲の設定ミス」であり、改めてクラウドサービスの「セキュリティ設定の重要性」がわかる事件となりました。

こういったクラウドサービス設定による情報漏洩リスクを軽減するには、SSPMやCSPMといった設定評価ツールを使用することが効果的です。また専門の診断士が手動で正しい設定を行う「クラウドセキュリティ診断」を受けることも有効でしょう。

クラウドセキュリティ診断は細やかな設定の見直しを、知識あるベンダーに任せられるため、知見やリソースのない企業も安心して利用できる、といったメリットがあります。

SSPMの主な機能

SSPMの主な機能は、以下の3つです。

1．SaaSの「セキュリティリスク」の評価

SSPMは、組織が定めたセキュリティポリシーをもとに、SaaS設定の評価をします。

SaaSにおける設定ミスやコンプライアンス違反を検出することで、不正アクセスや情報漏洩といったリスクに繋がる、インシデントの芽を早急に摘むことができます。

組織で事前に取り決めたセキュリティポリシー・規制要件に、現在の設定が合致しているかも確認できるため、企業はセキュリティポリシーを遵守しクラウドの安全な状態を維持することが可能です。

2．セキュリティリスクの「可視化」

SSPMは、SaaS環境におけるセキュリティリスクを可視化し、セキュリティ設定やリスクの状態が一目で把握できるようになっています。これにより管理者は「クラウド設定のどこに不備があるか」をすぐに確認し、適切な対処に取り組むことが可能となります。

3.自動でおこなわれる「定期的な監視」と「分析」

SSPMではSaaS環境を定期的に監視するため、新たなリスクが発生した場合も早期に検出することができます。設定の監視はツールが自動で行うため、管理者の作業工数を減らし効率的にセキュリティ運用を行えるようになるでしょう。

また収集したデータを分析し、セキュリティリスクやコンプライアンス違反の傾向を特定することで、将来発生しうるリスクの予測・対策を行うことも可能です。

SSPMを導入するメリット

SSPMを導入することで、以下のようなメリットが期待できます。

1．クラウドの設定ミスを「継続的」に防止できる

1つ目のメリットは、クラウドの設定ミスを「持続的」に監視し対策できることです。SSPMには、SaaSのセキュリティ設定とアクティビティを「自動で監視」する機能があります。

SSPMが定期的にSaaSの設定を調査し、設定不備やリスクを報告するため、クラウドサービスを「継続的」に安全な状態で利用することが可能です。仮に問題を検知した際は、警告やアラートにて管理者に通知してくれます。

2．SaaS管理を一元化し、運用負荷を軽減できる

2つ目のメリットは、異なるSaaSのセキュリティ設定・アクティビティを、SSPMで一元管理できることです。

複数のSaaSプラットフォームより収集した情報を、1つのダッシュボードで確認できるため、管理者は統合的かつ効率的なセキュリティ管理が可能となります。

3．コンプライアンス管理の工数を削減できる

3つ目のメリットは、クラウドサービス設定が「コンプライアンスを守れているか」を、効率的に確認できることです。

SSPMは、事前に設定されたセキュリティポリシーに基づき、SaaSの設定を監視します。自動化されたコンプライアンスチェックにより、管理者は手動でルールの確認・設定見直しを行う作業を削減できるのです。

製品によってはコンプライアンスに関するレポートを自動的に生成することも可能なため、監査やコンプライアンス報告にかかる時間と労力を削減できます。

SSPM導入の流れ

以下の6つのステップに沿って、SSPMの導入を進めていきます。

1．自社で使っているSaaSのセキュリティ状況の把握・ニーズや要件の洗い出し

まずは自社で利用しているSaaSの評価を行い、潜在的な脆弱性を特定しましょう。
同時に企業・組織ごとに遵守すべき法規制・コンプライアンス要件なども明らかにしておきます。

2．SSPMを選定

複数のSSPMソリューションを比較し、企業の規模やセキュリティニーズに合ったものを選定しましょう。ツールの機能、対応SaaS、適用範囲、カスタマイズ性、サポート体制などを検討します。

可能であれば無料版を試しに使ってみて、操作性などを確認しておくことをおすすめします。

3．導入計画を策定

具体的なスケジュールやタスク、担当者の役割分担などを検討し、導入計画を作成しましょう。社員への通知・トレーニングのスケジュールなども併せて行います。

ある程度の導入コストがかかるため、あわせて予算も明確にしておきましょう。

4．SSPM導入

選定したSSPMを、企業の本番環境に導入します。これには、各種設定や構成、既存のSaaSとの統合作業が含まれます。

正しく動作し、診断項目が期待通りに調査されるか確認しましょう。

5．担当者への教育

SSMPソリューションの使用方法やセキュリティイベントの解釈方法を、担当者にレクチャーします。トレーニングを通じて、SSPMを活用したセキュリティ設定の確認・対応を身に着けてもらいます。

担当者への教育とあわせて、策定した「クラウド利用におけるセキュリティーポリシー」を、全社員が共通で遵守できるよう呼びかける働きも重要です。

6．運用および継続的な改善

定期的な監視や診断結果の分析を通じて、SSPMの運用を継続的に実施・改善します。

ユーザーフィードバックや新たなセキュリティ要件に基づき、各種設定やポリシーを適宜調整しましょう。

SaaS環境の設定診断なら、プロが提供する「クラウドセキュリティ診断」もおすすめ

SSPMと同じく、クラウド環境の設定状況をチェックするサービスに「クラウドセキュリティ診断」があります。

クラウドセキュリティ診断は、SaaSをはじめクラウド環境全体の設定やセキュリティ状況を定期的に評価し、潜在的な脆弱性や設定不備を指摘、改善をおこなうサービスとなります。

SSPMとクラウドセキュリティ診断の違い

SSPMとクラウドセキュリティ診断の大きな違いは、クラウド環境の設定状況を自動でチェックするか、手動でチェックするかという点です。

SSPMの場合は事前に連携設定を行い、主に自動で設定チェックを行いますが運用や導入時の準備などは、自社でどのような項目をチェックするのかなどの設定が必要となります。

対してクラウドセキュリティ診断の場合、セキュリティの専門家が「手動」でチェックを行う点が特徴です。

単発でベンダーへ依頼する「クラウドセキュリティ診断」に対し、一度導入すれば継続的に設定の検知を行える点で、「持続性」の面ではSSPMが秀でていると言えます。

▼SSPMとクラウドセキュリティ診断の比較

	クラウドセキュリティ診断	SSPM
評価の主体	人間が評価	ソフトウェアが評価
柔軟性	○（高い）	×（低い）
診断項目数	○	△
最新の内容で診断可能か	○	×（ベンダーに依存）
持続性	×（定期的な実施が必要）	○
クラウドサービス仕様変更への対応	○	△
専門知識	不要	必要

ただし、常に「最新の診断項目」でチェックできる点や、各種クラウドサービスの仕様変更に対応できるといった「柔軟性」の面では、人的に行われるクラウドセキュリティ診断が適していると言えます。

また運用にある程度の知識と経験が必要なSSPMに対し、専門家へ全面的に調査を任せられるクラウドセキュリティ診断は、知識や経験を問わず利用できるといったメリットもあります。

「社内にセキュリティに詳しい担当者がおり、自社での運用が可能」であればSSPMを、社内でクラウドやセキュリティへの知見が少なく「プロに外注したい」場合はクラウドセキュリティ診断を利用するなど、自社の環境や目的に応じて適したサービスを検討すると良いでしょう。

SSPMと併用したい、LANSCOPE プロフェッショナルサービスの「クラウドセキュリティ診断」

クラウドセキュリティ対策を万全にする上で、SSPMはとても心強いセキュリティソリューションです。ただし自社の知識やリソースが十分でない場合、SSPMの運用は困難かもしれません。

LANSCOPE プロフェッショナルサービスでは、主要なIaaS・SaaSサービスで実施可能な「クラウドセキュリティ診断」を提供しています。

クラウドセキュリティ診断では、知識豊富な当社のエキスパートが、ご利用中のクラウドサービスにて「アクセス権限」「ログインの認証方法」など、インシデントの根源となりうる設定項目の調査と洗い出しを実施。

選定したクラウド環境の不備や脆弱性について、最適な対処方法をお伝えします。

また、常に各クラウドサービスの専門家が、CISベンチマークやJPCERT・IPAなどの発信する情報を収集し、診断ルールへ反映するため、いつでも最新のセキュリティルールに則った診断サービスの提供が可能です。

SaaSをはじめ、対応できるクラウドサービスは多岐にわたるため、幅広いお客様の「クラウドに関する情報漏洩対策」にお力添えできます。

▼主要なサービス一覧

Microsoft 365 セキュリティ診断
Google Workspace セキュリティ診断
Salesforce セキュリティ診断
Amazon Web Services（AWS）セキュリティ診断
Microsoft Azure セキュリティ診断
Google Cloud Platfor （GCP）セキュリティ診断
Zoom セキュリティ診断
Box セキュリティ診断
Slack セキュリティ診断

サービスの詳細は、以下のページよりご確認ください。

まとめ

本記事では「SSPM」をテーマに、その概要や機能について解説しました。

クラウドサービスのセキュリティ対策は、今や企業・組織において避けられない課題と言えます。ぜひ、本記事で紹介したCSPMやクラウド診断も参考に、安心して業務に臨めるクラウド環境の構築に取り組んでいただければと思います。

また弊社では、中小企業の情報システム担当者1,000名を対象に『クラウドセキュリティに関する実態調査』を行いました。

などの情報をレポートにまとめています。ぜひ自社のクラウドセキュリティ対策の参考にご活用ください。