お問い合わせ

SaaSセキュリティ運用の壁を乗り越える!JBCCのマネージドサービス

公開日 : 2024年06月04日
更新日 : 2024年06月05日

デジタルトランスフォーメーション(DX)の進展に伴ってSaaSの活用が広がり、シャドーITの存在や機密情報の制御不足、不正行為の見逃しなど、セキュリティ上の課題が顕在化しています。ゼロトラストネットワークを構築してもセキュリティインシデントが引き起こされるケースもあり、専門的な運用支援が求められているのです。本稿では、SaaSのセキュリティリスクとその対策を紹介するとともに、運用支援サービスの具体的な内容を解説します。

SaaSセキュリティ運用の壁を乗り越える!JBCCのマネージドサービス

目次

  1. SaaSの拡大に伴い、セキュリティの懸念が高まる
  2. セキュリティインシデントが起きる要因とは
  3. セキュリティを確保するためには「運用」がポイント
  4. JBCCのマネージドサービスに注目が集まる

1. SaaSの拡大に伴い、セキュリティの懸念が高まる

デジタルトランスフォーメーション(DX)が進展し、働き方も多様化しています。この潮流に対応するため、SaaS(Software as a Service)を使って業務の効率化や新しい働き方への対応をしている企業が増えています。Salesforce(CRM)、Office 365(オフィススイート)、Google ワークスペース(メール、オフィススイート)などのSaaSの利用が拡大する一方で、セキュリティ対策が大きな課題となっているのです。

SaaSを活用した環境下において従来の境界線ベースのセキュリティモデルとは違った対策が求められる今、ネットワークの内外を問わずすべてのユーザー、デバイス、アプリケーションに対して常に検証と認証を行なう「ゼロトラストネットワーク」が注目されています。実際、SASEや次世代型のファイアウォールを導入し、デバイスや業務に必要なシステムとサービスを接続し、一元管理する企業もあります。

しかしゼロトラスト化されたネットワークだけでは、SaaSに対するセキュリティ対策は不十分。実際、ゼロトラスト化した企業がインシデントに遭う事例も起きています。

2. セキュリティインシデントが起きる要因とは

ゼロトラストネットワークを構築してもセキュリティインシデントが起きている要因は、①シャドーITへの対応、②機密情報の制御、③ユーザーの不正行動を検出、④設定不備を検出、という4つの課題が解決できていないためです。


SaaSにおけるインシデント事例

セキュリティインシデントが起きる要因とは 「SaaSにおけるインシデント事例」 


ゼロトラストネットワークでは、さまざまなデバイスからアクセスが集中します。接続先のSaaSが増えれば増えるほどネットワークの負荷が高まり、その負荷を軽減するためにWeb通信の復号化が外され、管理外のWeb通信が発生します。その結果として、Web通信の可視化や制御ができなくなり、従業員の個人アカウントでのSaaSの利用が把握できなくなるのです。

つまり、ITセキュリティ部門の把握や管理がされていない状態でシステムやサービスが利用されるシャドーITは、大きなリスクとなります。

また、「機密情報の制御」という課題については、SASEの次世代型ファイアウォールでは、生成AIへの機密情報をうまく制御できず、機密情報がアップロードされるリスクがあります。

次世代型ファイアウォールはカテゴリーベースやプロトコルベースで制御を行うのが一般的です。仮に生成AIサービスの利用を禁止するカテゴリーブロックを設定しても、カテゴリーから抜け落ちるAIサービスがあれば機密情報がアップロードされる可能性があります。また次世代型ファイアウォールでは、投稿される内容を確認し、特定の条件に合致したら投稿を止めるといった制御ができません。機密情報を制御するためには、次世代型ファイアウォールに加え、網羅的な制御や投稿内容の可視性による制御を行う必要があるのです。

最後に、「ユーザーの不正な行動を検出できない」、「設定の不備を検出できない」という課題について、コラボレーションを例に説明します。

SaaSのコラボレーション機能には、組織外のゲストユーザーを自社のSaaSに招待し共同作業を行う方法と、ゲストユーザーを招待せずにファイルのみを共有する方法があります。ゲストユーザーが本人なのか、なりすましかを確認するのは難しいですし、どちらの場合でも管理外のネットワークからアクセスされるため、自社側では何がされているかを確認することができません。設定次第では、自社のSaaSに招待されたユーザーがさらに外部の別のユーザーにファイルを共有できてしまう可能性がありますし、共有リンクの使用などにより常に公開された状態になってしまうリスクも存在しています。

このようにSaaSのセキュリティ対策では、SASEの構成だけでは不十分です。SaaSの可視性を確保し、制御できる対策が求められています。

3. セキュリティを確保するためには「運用」がポイント

SaaSの利用拡大に伴い、セキュリティ対策の重要性が高まっています。この課題を解決するにはいくつか方法がありますが、SaaSの可視性を高めることもそのひとつです。そのほかに、「SWG」(Secure Web Gateway)や「CASB」(Cloud Access Security Broker)やSSPM(SaaS Security Posture Management)を導入するという方法もあります。

「SWG」とは、エンドポイントから社外ネットワークへの通信を監視し、脅威となる通信をフィルタリングするセキュリティソリューションのことで、SSL/TLS通信の復号化、インラインでのアクティビティ制御、テナント制御に対応します。「CASB」とはクラウドの利用を監視し、適切なセキュリティ対策を行うソリューションで、数多くのSaaSのリスク評価が可能で、SaaSのログを一元管理し、ユーザーのアクティビティを監視して不正行為を検知します。これらを導入することで、SaaSのセキュリティ対策を施すことが可能になります。

SaaSのセキュリティ運用における課題

セキュリティを確保するためには「運用」がポイント 「SaaSのセキュリティ運用における課題」
また、SaaSは必要なときに必要なだけ利用できるため、日頃から適切に運用することを心がける必要があります。未承認のSaaSの使用や不正行為、ファイルアップロードのチェックはもちろん、新しいSaaSの利用開始時にはその仕様を理解した上でリスク評価を行い、ポリシーを検討して適用していく必要があります。SaaSの利用が増えれば、クラウドとセキュリティの知識をアップデートしなければなりませんし、利用者の理解を得るための説明資料作成など運用負荷も高まるでしょう。SaaSの活用と並行して、セキュリティ対策と適切な運用体制の構築が必要になるのです。

4. JBCCのマネージドサービスに注目が集まる

SaaSや次世代型ファイアウォールの導入にもかかわらず、インシデントが発生する理由は、SaaSの利便性を重視しすぎて対策が不十分になる点にあります。シャドーITの対応、機密情報の制御、ユーザーの不正行為や設定の不備への対処が不十分なため、SaaSに対する可視性が低く、制御が困難になっているのが実情です。SaaSの利用が増えるにつれ、クラウドやセキュリティに関する専門的な知見が不可欠になるのです。

JBCCは、お客様の運用を支援するマネージドサービスを展開。以下の4つの柱から成るサービスを提供しています。

  1. SaaS利用状況レポートと改善策のアドバイス
    月次でSaaSの利用状況レポートを提供するとともに、クラウドやセキュリティの専門エンジニアが定期的に改善策をアドバイスします。
  2. シャドーITの可視化と利用許可の判断支援
    未承認のSaaSが利用されていないかチェックし、そのSaaSのリスクを多角的に評価することで、利用許可の判断をサポートします。
  3. SaaSの適切な利用方法のアドバイス
    利便性とセキュリティのバランスを取ったSaaSの使い方ができるよう、具体的なアドバイスを行います。
  4. 設定の是正支援とインシデント影響調査
    ポリシー違反があった場合でも利用者の立場を考慮し、是正による影響を調査の上、報告。インシデントの発生時にも、その影響を調査し、再発防止策を提案します。

クラウドの利活用が進む今、セキュリティリスクの低減と業務の効率化を重要視するのであれば、専門家からきめ細かい支援が受けられる環境を整えておく必要があるでしょう。SaaSの可視化と制御を通じて、お客様のDXの実現を全面的にバックアップするJBCCのにぜひご相談ください。

マネージドサービス for CASB Plus

マネージドサービス for CASB Plus

各種生成AIサービスのリスク詳細や社員の利用状況を可視化。さらにDLP(Data Loss Prevention)機能により、機密情報のキーワードを検出してアップロード遮断を行うことで、安全な利用を促進します。

高度なスキルを持つセキュリティエンジニアがCASBツールを用いてSaaSの利用状況や機密情報の保護状況からセキュリティリスクを分析し、レポートを元に結果を報告いたします。レポートは月次と年2回の定期ミーティングにて提供いたします。

また定期ミーティングでは、改善についてアドバイスし運用相談もお受けいたします。

詳細を見る

JBCCではマルチクラウド環境において、それぞれのクラウドの特徴にあせた最適なセキュリティ対策をご提案しています。

セキュリティガイドライン策定支援:インシデント予防と発生時の影響を最小限にする取り組み
アクセス制御/シャドーIT/データ保護:未許可のクラウドサービスを見つけてアクセス制御による機密情報の保護
設定監査:パブリッククラウドの設定や脅威を常時監視、定期レポートによる監査の実施

JBCCではマルチクラウド環境において、それぞれのクラウドの特徴にあせた最適なセキュリティ対策をご提案しています。

ゼロトラスト原則から再考する CASBの有効性と検討ポイントとは?

ゼロトラスト原則から再考する CASBの有効性と検討ポイントとは?

本セミナーでは、最近発行されたCloud Security Allianceの「ゼロトラスト指針となる原則」を引用し、考えるべきポイントとSSEソリューション、特にCASBの有効性と検討ポイントについて解説および利便性を享受しながら安心・安全に利用するために必要なJBCCの運用サービスについてご紹介します。

詳細を見る

監修者

山口 貴央
セキュリティサービス事業部
サービス開発本部
クラウドセキュリティ推進

資格:Certified Cloud Security Proffsional(CCSP)
セキュリティエンジニアとしてクラウドセキュリティの領域、主にCNAPP、CASB、SWGを担当
お客様への提案活動だけでなく、実装や運用保守の支援も実施

JBCC株式会社 山口 貴央

JBCC株式会社ロゴ

JBCC株式会社

JBCC株式会社は、企業のデジタル・トランスフォーメーション(DX)を支援するITサービス企業です。クラウドサービスを中心にシステムの設計から構築、運用までを一貫して手掛けており、クラウド 2,411社、超高速開発による基幹システム構築 480社、セキュリティ 1,110社の実績があります。
お客様の環境に合わせた最適なITシステムを、クラウド、超高速開発、セキュリティ、データ連携等を活用し、企業のDX実現と経営変革に貢献します。

コラム
CASB(キャスビー)とは?クラウド利用で知っておきたい機能やメリットなどをわかりやすく解説

CASB(キャスビー)とは?クラウド利用で知っておきたい機能やメリットなどをわかりやすく解説

マルウェアや内部不正、人的ミスによる情報漏洩など、デジタル化が進んだ現代だからこその問題が昨今増加しています。こうした状況において「情報を守ること」は、企業にとって重要な業務のひとつです。とはいえ、テレワークやクラウドサービスの利用増加など、効率化が進むほど情報を守ることが難しいと頭を悩ませる担当者も多いでしょう。 そうした状況の中で、昨今注目を浴びているのが「CASB」。アメリカのガートナー社によって提唱されたこの概念は、クラウドサービスの利用が増えた現代にこそ必要な概念と言えます。本記事では、CASBの基礎と機能、メリットなどについてご紹介します。

コラム
SASEとCASBの違いとは?ゼロトラストとの関係も解説

SASEとCASBの違いとは?ゼロトラストとの関係も解説

SASEはさまざまなセキュリティ機能を統合するクラウドサービスです。CASBはSASEの機能のひとつで、SaaS型アプリの安全を確保します。本記事では、ゼロトラストとの関係やSASE・CASBの機能、導入メリットを紹介します。

マネージドサービス for CASB Plus
マネージドサービス for CASB Plus

マネージドサービス for CASB Plus

「マネージドサービス for CASB plus」は、SaaSの利用状況の把握・制御を行うことで、情報漏洩等のリスクを低減し、クラウド活用を促進するサービスです。