SSPM（SaaS Security Posture Management）とは、SaaSの設定不備による情報漏洩などのインシデントを防ぐためのソリューションです。設定不備によるインシデントは利用者側の責任になるケースが多いため、現在の設定にどのようなリスクが存在するかを知っておくことは重要です。本記事では、SSPMが注目される背景や導入におけるポイントについて解説します。

• SSPMとは
  • SSPMの主な機能
    • ① 設定におけるセキュリティリスクの検出
    • ② 検出したリスクへの対応支援
    • ③ SaaSの継続的な監視
• CSPMとの違い
• SSPMが注目される背景
• 導入におけるポイント
  • 利用サービスへの対応状況の確認
  • 対応するガイドラインの種類と診断項目数の確認
  • リスクへの対応サポート機能の確認
• 製品紹介
  • Adaptive Shield
  • AppOmni
• おわりに
• 参考文献
• 関連するITソリューション
• パブリシティ

SSPMとは

　SSPMとはSaaS Security Posture Managementの略でSaaSの設定におけるセキュリティリスクを可視化するソリューションです。可視化によって、インシデントにつながる可能性がある設定を特定し修正することで、意図せず機密情報などを公開してしまい、情報漏洩などに発展することを防ぎます。

SSPMの主な機能

　SSPMの機能について紹介します。
① 設定におけるセキュリティリスクの検出
② 検出したリスクへの対応支援
③ SaaSの継続的な監視
　これらの機能について以下で解説します。

① 設定におけるセキュリティリスクの検出

　SSPMは、ISO/IEC 27001（セキュリティリスク管理の国際標準）やNIST SP 800-53（セキュリティとプライバシー管理のガイドライン）などのセキュリティ基準や組織が定めたポリシーをもとにSaaSの設定を評価します。意図せず機密情報を公開してしまっている可能性がある設定や、ユーザへの必要以上の権限設定などを検出します。

② 検出したリスクへの対応支援

　SaaSの設定を評価することで多くのアラートが検出される可能性があり、そのアラートを個別に確認し対応することは困難な場合があります。このため、SSPMにはリスクを評価し、対応の優先順位付けを行う機能があり、リスクの高いものから対応することができます。また、どの設定項目を変更すればよいのかといった対応方法を提案する機能もあります。

③ SaaSの継続的な監視

　SSPMは、SaaSとAPI連携することで継続的にデータを取得し、SaaSの設定状況を監視します。リスクがあると評価された設定を検出した場合はアラートを通知します。継続的に監視することで設定不備に素早く対応でき、インシデントの発生を未然に防ぐことができます。

CSPMとの違い

　類似したサービスとしてCSPMがあります。CSPMは、Cloud Security Posture Managementの略で、IaaS・PaaSにおけるセキュリティリスクを可視化します。機能としてはSSPMと同様ですが、ネットワークやストレージ構成、特権アカウントの権限などの設定といったクラウドインフラストラクチャーのリスクを監視対象としている点に違いがあります。
　

SSPMが注目される背景

　新型コロナウイルスによるテレワークの普及やDXの推進などにより、SaaSを利用する企業は増加しています。SaaSは業務の効率化や、導入・保守・運用のコスト削減などさまざまな利点があります。SaaSの利用が拡大する一方で、設定不備による情報漏洩などのインシデントもたびたび発生しています。設定不備の原因として、利用者のスキル不足やリリースによる仕様変更などが考えられます。複数のSaaSを利用している中で、複雑な設定項目やリリース情報を理解し、正しく設定することは困難です。SSPMはこのような状況に対する有効なソリューションとして注目されています。

　なお総務省が2022年10月に公表した「クラウドサービス利用・提供における適切な設定のためのガイドライン」では、設定不備を防ぐため、クラウドサービスの利用者側に求められる対策のひとつとしてSSPMやCSPMなどの監視ツールを使用することが推奨されています。(*)

導入におけるポイント

　SSPMの導入におけるポイントについて紹介します。

利用サービスへの対応状況の確認

　SSPMの導入を検討している組織は、セキュリティリスクを評価したいSaaSに対してSSPMが対応しているかを事前に確認する必要があります。
　特にMicrosoftやSalesforceなどは、複数のサービスを提供しているため注意が必要です。たとえば、Microsoftが提供するSaaSには、Microsoft 365やPower Platformなどがあります。さらにMicrosoft 365にはOutlookやSharePoint 、Teamsなど、Power PlatformにはPower AppsやPower BIなどが含まれています。
　このため、SSPMがSaaS提供企業のどのサービスに対応しているのかを確認する必要があります。

対応するガイドラインの種類と診断項目数の確認

　組織が所属している業界のガイドラインなど準拠すべきガイドラインにSSPMが対応しているか確認しておく必要があります。また、より正確な評価を行うために、診断項目数を確認することも大切です。

リスクへの対応サポート機能の確認

　SSPMを導入しSaaSの設定を評価するだけでなく、検出したセキュリティリスクに対して適切な対応を行う必要があります。このため、リスクの優先順位付けやリスクがある設定の修正方法の提案など、リスク対応を支援する機能の有無についても確認するとよいでしょう。

製品紹介

Adaptive Shield

　イスラエルのAdaptive Shield社が提供するSSPMです。120種類以上のSaaSや10種類以上の国際的なセキュリティ基準に対応しています。多くのSaaSに対応しているため、複数のSaaSをAdaptive Shieldで一元管理することができます。

Top SaaS Security with SaaS Security Posture Management (SSPM)

AppOmni

　米国AppOmni社が提供するSSPMです。30種類以上のSaaSに対応しています。AppOmniはSSPMの機能に加えて、SaaSに対する疑わしいアクセスを検出することができます。これにより、不正アクセスなどのサイバー攻撃を未然に防ぐことができます。AppOmni社は国内拠点がなく株式会社日立ソリューションズが販売代理店として提供しています。

AppOmni SaaS環境のセキュリティリスクを検知・可視化（SSPM）｜日立ソリューションズ『AppOmni』とは？価格・システム・サービス概要や、解決できる課題についてご紹介

おわりに

　複数のSaaSの設定を手作業で確認することは時間がかかり、確認漏れも発生します。SSPMを導入することで、複数のSaaSの設定を評価し、セキュリティリスクを検出することができます。また、継続的に監視が可能なため、利用者による設定不備やリリースによる仕様変更にもすばやく対応することができます。SSPMの導入には、セキュリティリスクを評価したいSaaSに対してSSPMが対応しているか確認し、自社に適したソリューションを選択することが大切です。そのために、事前に自社で利用しているSaaSを整理しておく必要があります。

参考文献

(*)総務省　2022年10月「クラウドサービス利用・提供における適切な設定のためのガイドライン」 p.42
https://www.soumu.go.jp/main_content/000843318.pdf

関連するITソリューション

サイバーセキュリティ対策 | 大和総研

パブリシティ

サイバーセキュリティの最新動向をタイムリーに発信～DIR SOC Quarterly～

※Microsoft、Microsoft 365、Outlook、Power Platform、 Power Apps、Power BI、SharePoint、Teamsは、米国 Microsoft Corporationの米国およびその他の国における登録商標または商標です。
※SalesforceはSalesforce, Inc.の商標であり、許可のもとで使用しています。