SSPMとは、SaaSアプリケーションの設定におけるセキュリティリスクを検出し、継続的に評価できるセキュリティソリューションです。
SaaS活用時代の今、SaaSのセキュリティリスクを評価し、管理者による設定漏れや不適切な設定の適用を防ぐことができるSSPMが注目されています。
そこで本記事では、SSPMの機能から導入のメリット、製品選定時のポイントまで分かりやすく解説します。
SSPMとは
SaaSのセキュリティ強化に欠かせないSSPM。まずは、SSPMの概要について説明します。
SSPMの概要
SSPMとは、「SaaS Security Posture Management」の略語であり、直訳するとSaaSセキュリティ態勢管理です。
セキュリティ態勢とは、サイバー攻撃に対するセキュリティの対策状態のことであり、SSPMは、SaaSにセキュアな設定を適用してサイバー攻撃の被害にあうリスクを低減することを目的としています。
この目的にもとづいて、各SaaSの設定におけるセキュリティリスクをチェックし、継続的に評価・管理するソリューションがSSPMです。
SSPMを導入することで、SaaS管理者が気づいていなかった設定漏れや、セキュリティ観点では不適切な設定などを検出できるため、SSPMはSaaSのセキュリティ強化に非常に有効です。
CSPMとの違い
SSPMと並んでCSPMを耳にすることが多いかもしれませんが、SSPMとCSPMは別のソリューションです。CSPMは、「Cloud Security Posture Management」の略語であり、直訳するとクラウドセキュリティ態勢管理です。
SSPMとCSPMの違いは、管理する対象です。SSPMはSaaSを対象としたソリューションであるのに対し、CSPMはクラウド(IaaSやPaaS)を対象としたソリューションです。具体的には、Amazon Web ServicesやAzure、Google Cloudなどのクラウドサービスを対象にしています。
管理対象に違いはあるものの、機能は同様であり、CSPMはIaaSやPaaSのセキュリティリスクを評価・管理することが可能です。
SSPMの機能
SSPM製品を導入するとなにが実現できるのでしょうか。こちらでは、SSPMの具体的な機能を3つ紹介します。
SaaSの設定におけるセキュリティリスク検出
SSPMは、各SaaSから管理者用ポータルで設定するような設定値情報を取得し、セキュリティリスクがないかを評価する機能があります。具体的には、Microsoft365(SharePointやTeamsなど)、Salesforce、Google Workspaceといった各SaaSとAPI連携することで、SaaSの設定状態を評価します。
評価基準は、SOC2、CIS Benchmarks、ISO/IEC 27001などのグローバルなセキュリティガイドラインです。評価基準にもとづいて、例えばアクセス権限設定や外部共有設定、認証方式といった設定項目がガイドラインの基準に沿ったものかをチェックしてくれます。
セキュリティリスクに対する対応支援
SSPMは、セキュリティリスクを検出するだけでなく、検出したリスクに対する推奨の対応策を提示し、リスクの低減に向けて対応を支援する機能があります。
対応策は、評価基準と同様にSOC2、CIS Benchmarks、ISO/IEC 27001などのグローバルなセキュリティガイドラインや、各SaaS製品ベンダーのベストプラクティスなどにもとづいたものが提示されます。
SSPM製品は、各問題点のリスクレベルや対応の優先順位をつけてくれるため、リスクレベルや優先順を参考にして、対応を進めるとよいでしょう。
SaaSの設定状況の継続的な監視
SSPMは、一度SaaS全体の設定状態を評価して終わりではなく、継続的な評価・管理が可能です。
SaaSアプリケーションの設定変更をリアルタイムで検出し、セキュリティ上のリスクが見つかった場合はアラートで管理者に通知する機能をもっています。
また、業務影響を踏まえてリスク許容とするものや対応の優先度をさげるものにはフラグづけをして、運用しやすいようにカスタマイズできる機能をもった製品もあります。
SSPM導入のメリット
SSPMの導入は、SaaSのセキュリティ対策においてさまざまなメリットがあります。こちらでは、SSPM導入により期待できるメリットを説明します。
SaaSのリスク対策状況の可視化・一元管理
SSPM製品は、管理者向けのダッシュボードにて、セキュリティリスクの評価結果や対策状況を可視化してくれます。そのため、一度各SaaSをSSPMに連携すれば、SaaSごとに管理画面をチェックすることなく、SSPMで一元的にセキュリティリスクを監視・管理できる点がメリットです。
SaaSは追加開発や、外部サービスとのAPI連携、新規アカウントや外部共有サイトの作成などにより、設定状況が頻繁に変更されることがあります。
従来は企業や組織のセキュリティ担当者がそうした変更をすべて把握し管理・是正していくことは困難でした。ですが、SSPM製品を活用することで、設定変更によるリスクの増加をリアルタイムに可視化し、即時に検出・対応できるようになります。
各種セキュリティガイドラインへの一括準拠
SSPM製品は通常、SOC2、CIS Benchmarks、ISO/IEC 27001などのグローバルなセキュリティガイドラインやコンプライアンス要件にもとづいて、SaaSの設定状況を評価し、推奨の対応策を提示します。
そのため、SSPM製品を活用することで、グローバルスタンダードのセキュリティやコンプライアンス要件に準拠したSaaSの利用を推進できます。
SSPMは各種ガイドラインの推奨事項を取り込んでセキュリティリスクを評価するため、一括で複数のガイドラインへの準拠状況を可視化し常時監視できる点は、非常に大きなメリットです。
SaaSのセキュリティ対策・運用効率の強化
従来SaaSのセキュリティリスクをチェックする場合は、各種ガイドラインやベストプラクティスを調査し、担当者自身で各SaaSの設定値と照らし合わせて評価する必要がありました。
ですが、SSPMはシームレスにSaaSと連携し、設定状況の評価からリスク対応策の優先順位づけ、対応策の提示までを製品側で実施してくれるため、効率よくSaaSのセキュリティ強化に取り組むことができます。
さらに、SaaSアプリケーションのテストやパイロット利用フェーズからSSPMを導入することで、早期に設定ミスを検出し、本格利用を開始する前にハードニングできるというメリットもあります。
SSPM製品選定のポイント
SSPM製品は複数存在しますが、実際にSSPMを導入する場合、どのようなポイントに注意して製品を選べばよいのでしょうか。製品選定時は、以下3点について自社の要件にあうか確認することが大切です。
- 評価対象のSaaS種別(Microsoft365、Salesforceなど)
- 設定値の評価基準(SOC2、CIS Benchmarks、ISO/IEC 27001など)
- 評価結果の実用性
各ポイントについて、具体的に確認すべきことを説明します。
評価対象のSaaS種別
SSPM製品によっては、API連携し、評価できるSaaS種別が限られています。
Microsoft365やSalesforce、Google Workspaceのような世界的に広く利用されており、ベストプラクティスも多く出回っているSaaSは評価対象になっています。
一方で、マイナーなSaaSアプリケーションは評価対象外となっていることが多いです。そのため、SSPMを導入すればSaaSのセキュリティ対策は完ぺきだ、というわけではない点には留意しましょう。
まずは、自社で全社的に利用中であり攻撃された場合のリスクが高いSaaSアプリケーションを洗い出し、SSPMの評価対象になっているか確認することをおすすめします。
設定値の評価基準
SSPMは、SOC2、CIS Benchmarks、ISO/IEC 27001などのグローバルなセキュリティガイドラインやコンプライアンス要件を評価基準に用いています。
企業や組織でベンチマークとして参照しているものや、業界で準拠を求められているものがある場合は、それらがSSPMの評価基準に組み込まれているか確認するとよいでしょう。
評価基準を事前に確認し、SSPMを利用することで自社が目標とするセキュリティのベースラインを満たせる製品を選ぶことで、SaaSのセキュリティ強化を効率よく実施できます。
評価結果の実用性
可能であれば、SSPMの導入前に試用版を利用して、実際の評価結果やリスクに対する対応策がどのように可視化されるのか確認しましょう。
検出されたリスクに対する対応策を提示してくれるものの、実際の設定変更など是正対応を行うのは各SaaSの管理者です。
SSPM製品は、導入しただけでセキュリティ対策が完了するものではありません。可視化された結果をもとに管理者が不適切な設定値を修正する運用を実施することで、初めて導入の効果を得られます。
管理者がすぐに対応できるレベルで具体的な設定箇所や手順まで確認できるか、優先順位やリスクレベルが定義されておりどこから手をつければいいかが分かりやすいか、など運用観点で実用性を事前に評価することをおすすめします。
まとめ
SSPMとは、SaaSアプリケーションの設定におけるセキュリティリスクを検出し、継続的に評価・管理できる機能をもった、セキュリティプラットフォームです。
SSPM導入は、SaaS環境のセキュリティリスクを可視化し、効率的にグローバルなセキュリティガイドラインに準拠したセキュアなSaaS運用を行えるというメリットがあります。
SaaS活用時代の今、SSPMの導入を検討し、SaaSアプリケーションにおけるアタックサーフェスのリスク低減に取り組んでみてはいかがでしょうか。