企業内でSaaSの振る舞いを監査、クラウド利活用を一層安全に

テレワークが普及した。日本でも、Web会議やコラボツールなどから基幹業務ソフトに至るまで、さまざまなクラウドを利用する企業が急増している。昨今、それらSaaSからの機密データの情報流出などが、国内外で多数発生している。

セキュリティインシデントの多くは、SaaS自体の欠陥によるものではなく、利用企業の管理・設定不備によるものだ。例えば、SaaSの管理を現業部門が実施することによって想定外の情報公開が発生したり、IT部門管轄下にあってもその導入時以降しっかり管理していないために、アップデートに伴う機能追加やデフォルト値の変更に気づかず、危険な設定になっていたりといったケースが見受けられる。しかし――

数多ある設定の中で、検知されたリスクの調査・分析を自社のリソースで、SaaSごとに実施し続けることは工数や専門性の観点から現実的ではないという。マクニカは9月29日、「SaaS設定監査レポートサービス」をリリースした。同サービスは、SSPM(SaaSセキュリティポスチャ管理)専用ソリューションのAdaptive Shieldを活用して、設定を各種国際セキュリティ標準に基づき監査や診断する。同社エンジニアの知見を活かしたレポート提供等もする。

①対応SaaSの種類が豊富で、監査項目数が多いSSPMを活用することで、脆弱な設定箇所や想定リスクなどを可視化、②監査レポートでは、最新の攻撃情報など同社独自の知見を活かし、検出リスク中の優先順位や対応が必要な範囲を提示。③一度自社の状況を確認したい顧客向けのスポット利用サービスだが、Adaptive Shieldを継続利用するためのサポートも可能、といった特長を備えたという。

同社は、"Adaptive Shield"(Adaptive Shield社製品)をいち早く国内に展開してきたナレッジを活用し、顧客の安全なSaaS利用を支援していく構えだ。