クラウド技術の進展と普及に伴い、ビジネス環境が大きく変化しています。クラウドを活用することで、柔軟なシステム構築や業務の効率化が可能となり、多くの企業がSaaS（Software as a Service）を導入するようになりました。しかし、SaaSの普及に伴い、セキュリティ課題も増加しています。本記事では、SaaSのセキュリティ課題に対処するSSPM（SaaS Security Posture Management）の概要と主な機能、また導入のメリットや注意点などについて解説します。

さまざまなメリットを享受できるクラウド活用では、ユーザーの利便性とセキュリティ確保のバランスを取りながら、柔軟かつ安全な環境を実現することが重要になります。
これを可能にするのが、SSPM（SaaS Security Posture Management）です。SSPMはクラウド環境で利用されるSaaSアプリケーションのセキュリティ設定の状態を監視、評価、管理するセキュリティプラットフォームで、SaaSアプリケーションのセキュリティ設定や、アカウント管理の不備、不審なアクセスがないかなどを定期的に監視し、それらを検知した場合にはユーザーに通知します。これにより、企業はSaaS環境における潜在的なリスクや脆弱性を特定して、適切なセキュリティ対策を講じられるようになります。また、法規制や業界標準への準拠も支援するため、コンプライアンスの遵守にも役立ちます。

SaaSの発展に伴い、近年多くの企業が利便性の高いクラウドベースのアプリケーションを利用して業務の効率化やリソースの最適化に取り組んでいます。しかし、それと同時に以下のような新たなセキュリティ課題も浮上しています。

データ保護
SaaSは、企業の機密情報や顧客情報などの重要なデータをクラウド上で保管・管理します。そのため、データ漏洩や不正アクセスのリスクが懸念されており、SaaSを利用する企業にとってクラウド環境におけるデータ保護は重要な課題となっています。

権限管理の粗雑化
SaaSアプリケーションが広く普及する中、より利便性を高めるためにユーザーに必要以上の権限を持たせるケースが増えています。SaaSは誰でもどこからでもアクセスができるため、万が一アカウントが漏洩してしまった場合に備え、適切な権限設定が必要となります。

コンプライアンス遵守
企業はデータ保護法（GDPR^※1やCCPA^※2など）や業界固有の規制など、さまざまな法規制・要件に従う必要があります。国内外のサーバーを使用するSaaS導入に際しては、コンプライアンス遵守が難しいケースもあるため、企業のセキュリティポリシーを維持し、適切なセキュリティレベルを確保しなければなりません。

セキュリティ監査
SaaSアプリケーションはSaaSプロバイダーが管理していますが、SaaS上で利用するアカウントやセキュリティ設定はユーザーが管理する必要があります。日々さまざまなSaaSで仕様変更が行われる中、利用しているSaaSごとにセキュアな設定ができているか監査を行うのは、非常に手間がかかります。

企業は上記で紹介したデータ保護や権限管理、コンプライアンス遵守などの新たなセキュリティ課題へ適切に対処する必要があります。
SSPMを活用すれば、SaaSアプリケーションのセキュリティ設定の定期的な監視・分析や、SaaS環境における潜在的なリスク・脆弱性を特定して効果的なセキュリティ対策を実施できます。また、それぞれのSaaSについて適切なポリシーを提供してくれるため、セキュリティ担当者の負担軽減にもつながるはずです。そのため、SSPMは企業がクラウド環境でのビジネスを安全かつ効率的に運営するうえで重要な役割を果たします。

SSPMと混同されやすい言葉にCSPM（Cloud Security Posture Management）があります。CSPMとは、IaaS/PaaSといったクラウド上に構築された各種システムの「今の状態」を確認し、設定ミスや脆弱性などを検証してセキュリティを担保する仕組みです。
SSPMとCSPMはともに、クラウド環境におけるセキュリティ強化を実現する管理プラットフォームですが、対象とするクラウドサービスの種類やユースケースが異なります。
SSPMは、SaaSアプリケーションのセキュリティ状態の管理に特化したセキュリティ製品です。一方、CSPMはIaaS/PaaS環境におけるセキュリティ状態の管理・最適化に活用され、クラウドインフラストラクチャのセキュリティ設定やポリシーを監視・分析して、リスクや脆弱性を検出・対策する役割を担っています。
CSPMについては以下の記事で詳しく解説していますので、合わせて参照してください。

SaaS利用におけるセキュリティ課題を解決するために、SSPMが提供する主な機能を紹介します。

利用しているSaaSのセキュリティ設定とポリシーをチェックし、問題点・リスクを特定します。そしてユーザーにアラートを通知し、ダッシュボードで表示・可視化することにより、異なるSaaS間でも一貫したセキュリティポリシーを維持できるようにします。

法規制や業界基準に適合するためのセキュリティポリシーを設定した場合に、違反の検出とレポーティングによる報告を行うなど、企業がコンプライアンス遵守を徹底できるようにサポートします。

前述したとおり、SSPMはSaaS利用におけるセキュリティレベルを確保するためのさまざまな機能を備えていますが、実際、導入によってどのようなメリットを享受できるのでしょうか。
SSPMを導入する主なメリットは以下の3つです。

セキュリティ担当者は、複数のSaaSアプリケーションに対するセキュリティ設定やポリシーの問題点を一元管理できるようになるため、それらの情報をダッシュボードから素早く確認して対策することで、効率的にセキュリティ強化を実現できます。また、定期的な監視・分析機能を通じて潜在的なリスクや脆弱性の特定が可能になるため、早い段階で有効な対策を講じることができるでしょう。

個人情報保護の規制強化は世界レベルで広がっており、企業は顧客のプライバシー保護の取り組みを強化する必要があります。また、個人情報に留まらず、企業や政府・自治体が保有するさまざまな機密データも保護の対象です。SaaSはこうした機密データをクラウド上に保存しますが、SSPMを導入すれば法規制や業界基準に適合するためのセキュリティポリシーと設定を可視化し、企業のコンプライアンスの状態を継続的に監視することができます。コンプライアンス違反を特定した際にはアラートが発報され、迅速に対応することでリスクを最小限に抑えられるでしょう。

SSPMは個々のアプリケーションごとにセキュリティ設定を確認する必要がなく、複数のSaaSにおける脆弱性やアクセス設定の不備を自動で検出できます。また、多くのSaaSとシームレスに連携できるため、SaaSアプリケーションの追加や変更にも迅速かつ柔軟に対応可能です。これらの機能によって企業はセキュリティ管理・運用を効率化して、リソースをほかの重要な業務に注力させることができます。

SaaSを利用する企業にとって不可欠となるSSPMですが、SSPMのセキュリティ機能をより効果的に活用するためには、自社の状況に合わせたソリューションを導入することが重要です。ここでは、SSPM導入時のポイントを解説します。

SSPMを導入する前に、現在使用しているSaaSアプリケーションのセキュリティ状況を評価し、どのような課題やリスクが存在するかを把握することが大切です。具体的には、以下の項目についての確認・評価が必要になります。

SaaSの利用状況
現状どのSaaSを利用しているのか、全体像を理解することから始めます。各SaaSの利用目的や利用者、保存されているデータの種類、機密性などを確認しましょう。

現行のセキュリティポリシーとプロセス
各SaaSのセキュリティポリシーと、セキュリティ維持のためのプロセスを評価します。SaaSに設定しているアクセス制御やデータ保護に加え、ユーザーのセキュリティ意識なども整理しておきましょう。また、ユーザーがどのデータに、どのような権限でアクセスしているかの確認も重要です。

セキュリティインシデントの発生状況
利用中のSaaSについて、過去にセキュリティインシデントがあったか、その原因や対応は何だったのかを確認します。これにより、SSPMで対応するべきリスクをより詳細に把握できます。

導入を検討しているSSPMソリューションの機能を確認します。組織が遵守しなければならない法規制または業界のコンプライアンス要件を理解し、これらの要件を満たす機能が備わっているかどうかを評価することが重要です。
また、候補のSSPMソリューションが現在使用しているSaaSと連携できるのかどうかや、評価版の有無も確認する必要があります。可能であれば無料の評価版を導入して、事前に機能や操作性を確認しておきましょう。

ユーザビリティと可視性を確保するために、SSPMソリューションは視覚的で使いやすい管理画面やレポート機能を持っていることが重要です。

迅速かつ適切なサポートを提供していることも重要なポイントです。また、定期的にアップデートや新機能の追加を行っているSSPMソリューションであれば、長期的に安心して利用し続けられるでしょう。

実際にSSPMを導入する際には前述した考慮事項を踏まえ、以下の手順に沿って進めることをお勧めします。

現行のSaaS環境の評価を行い、セキュリティ状況を把握します。SSPMを導入するにあたり、業界や企業が求めるセキュリティポリシー、コンプライアンス要件、リスク要因などを明確にしておくことが重要です。
また、企業のセキュリティ上のニーズや要件を特定し、SSPMソリューションに求める機能や対応範囲を定義する必要があります。

市場で提供されているSSPMソリューションを調査し、企業のニーズや要件に適したものを選定します。機能、コスト、ベンダーの信頼性、サポートの対応範囲などを比較検討することが重要です。
また、評価版を利用して選定したSSPMソリューションの機能や操作性を実際に確認します。選定においては複数のソリューションを試用して比較検討することも有効です。

SSPMソリューションの導入スケジュールやプロジェクト管理、担当者の割り当て、トレーニングなどの計画を策定します。規模や要件によってはコストもそれなりにかかるため、適切な見積もりと予算を確実に確保することが重要になります。

選定したSSPMソリューションを購入し、設計と導入を行います。プロジェクトを管理しながら、スケジュールに沿って設定やポリシーの適用、連携するSaaSアプリケーションの設定などを行いましょう。また、テストを実施し、導入したSSPMソリューションが適切に動作するか、ニーズや要件を満たしているかなども確認する必要があります。

情報セキュリティ部門・情報システム部門など関連する担当者に対して、SSPMソリューションの使い方や管理方法に関するトレーニングを実施します。また、全社員がセキュリティポリシーを遵守することの重要性を理解できるように教育を行うことも重要です。

SSPMソリューションの導入とトレーニングが完了したら、実際にSSPMソリューションを運用してSaaS環境のセキュリティ設定の監視を開始します。運用を通じて得られた情報やフィードバックをもとに、セキュリティポリシーの改善や設定の最適化を継続的に行います。

近年、サイバーレジリエンスの考え方が注目されています。サイバーレジリエンスは、サイバー攻撃の被害が発生しても事業を継続できるよう、サイバー攻撃を受けることを前提に、攻撃を受けた後の被害を最小限にとどめて早期のシステム復旧をめざす取り組みです。今回紹介したSSPMは、このサイバーレジリエンスを強化する手段の一つとなります。 ぜひ専門家に相談し、SSPMの導入を視野に入れたサイバーレジリエンス強化施策を検討してみてください。