SSPMとは？仕組みと活用事例

SSPM（SaaS Security Posture Management）とはSaaSセキュリティ体制管理を指し、サードパーティのSaaSアプリケーションを保護するための専用のセキュリティシステムです。アプリケーションの使用状況、設定、アクセス制御、およびコンプライアンスのギャップを継続的に評価します。職場全体で広く使用されているSaaSは、多くの脆弱性やセキュリティ管理の問題を引き起こします。「低コストまたは無料のSaaSアプリケーションの台頭は、ビジネスユニットやユーザーに力を与えましたが、セキュリティチームを混乱させました」と、プルーフポイントの製品エキスパートであるマシュー・ガーディナーはまとめています。

SSPMは、セキュリティチームが効率的に発見・管理できない脅威を軽減するために、SaaSアプリケーションのリスク検出を自動化します。SSPMベースのセキュリティ戦略は、休止アカウント、誤設定、過剰な権限、不正な統合、およびMicrosoft 365、Salesforce、Okta、GitHubなどのツールにおけるその他の多くの露出を特定することで、アタックサーフェスを削減します。

SSPMは、分散したチームや非セキュリティ担当者が通常管理するSaaSアプリケーションを対象としています。これは、データポリシーを管理するCASB（クラウド アクセス セキュリティ ブローカー）や、IaaSプラットフォームを保護するCSPM（クラウドセキュリティ 体制管理）などのツールと連携して機能します。CSPMが安全でないクラウドストレージなどのインフラストラクチャの欠陥を特定するのに対し、SSPMは、Google Workspaceでの監視されていないファイル共有権限、MFAカバレッジのギャップ、M365での未審査のサードパーティアプリ接続など、アプリケーションおよびID中心のリスクに対処します。

SSPMの重要性

組織は現在、数百、あるいは数千ものSaaSアプリケーションを使用しており、その多くはIT部門の監視が十分に行き届いていません。手動によるセキュリティレビューでは、頻繁な機能アップデートやシャドーITの拡大に追いつくことができません。これらのアプリにおける設定ミスは、クラウド侵害の大部分を占めていますが、悪用されるまで検出されないことがよくあります。SSPMは、CISやISO 270001などの規格に準拠したポリシーを強制すると同時に、SaaSアプリの設定ミス、シャドーSaaS、およびID中心の露出を特定します。企業にとって、これは情報漏洩の減少、セキュリティ インシデントの影響の低減、コンプライアンス監査の簡素化、および運用効率の向上を意味します。

SaaSの導入が拡大するにつれ、SSPMはビジネスの優先事項や成長を妨げることなく、分散したアプリケーションを保護するために必要な一元管理を提供します。SSPMは従来のセキュリティモデルによって残されたギャップを埋め、進化する脅威の時代において、企業が安全に拡張し、自信を持ってクラウドを活用できるようにします。

SSPMは、アプリケーションの設定ミス、シャドーSaaS、IDの露出などのセキュリティギャップを検出するために、SaaSアプリケーションの自動化された継続的な監視を通じて動作します。SaaSアプリの設定をスキャンし、設定がCISやISO 270001などのセキュリティのベストプラクティスや規制規格に準拠していることを確認します。IDセキュリティについては、SSPMは休止アカウント、過剰な権限を持つアカウント、およびMFAの欠如を特定し、最小権限の原則を適用して露出を最小限に抑えます。

新しいリスクやドリフトが検出されると、SSPMはそれらにフラグを立てて優先順位を付け、悪用される前にリスクに対処できるよう、権限の調整やアプリへのアクセス権の取り消しなどの修復を容易にします。SSPMのエージェントレスなアプローチにより、エンドポイントにソフトウェア インストールを必要とせずに広範なカバレッジが可能になり、多様なSaaSエコシステム全体での導入が効率化されます。メール、DLP、CASB、またはIAM（IDとアクセス管理）ツールなどの既存のセキュリティシステムと統合することで、SSPMは可視性と修復を一元化し、手動の監視やヒューマンエラーへの依存を減らします。

SaaSの導入が急増する中、SSPMソリューションは分散型クラウド環境における重大な脆弱性に対処します。プルーフポイントのデータによると、2024年に監視対象となった組織の99%が、SaaSアプリケーションに直結するSSOアカウントの乗っ取りの試みを経験しました。SSPMは組織に以下のような不可欠な利点をもたらします。

• 継続的な体制の検出と修復：設定ミスや露出を自動的に検出し、効率的な修復を可能にします。SSPMは、悪用される前に露出に対処することで、侵害のリスクを軽減します。
• コンプライアンスの保証：設定とアクセス制御を監視することで、GDPRやHIPAAへの準拠を確実にします。
• アタックサーフェスの削減：休止アカウント、過剰な権限、MFAの欠如、およびシャドーITを特定し、悪用可能な脆弱性やデータ漏洩の原因を減らします。
• 運用効率：設定ミスの監査などのセキュリティタスクを自動化し、チームがより戦略的な優先事項に集中できるようにします。
• コスト削減：プロアクティブなリスク管理により、SaaSの設定ミスやコンプライアンスのギャップに関連するデータ侵害を防ぎます。また、セキュリティ管理の効率を向上させます。
• サプライチェーンの保護：安全でないサードパーティの統合や脆弱なSaaSアプリを検出します。これにより、攻撃者が信頼できるパートナーを侵入口として悪用するのを防ぎます。
• コラボレーションの強化：一元化された可視性を提供することで、セキュリティチーム、ビジネスユニット、エンドユーザー間のギャップを埋め、生産性を損なうことなく統合されたリスク管理を可能にします。

これらの領域に対処することで、SSPMはサイバーリスクの増大する原因としてのSaaSアプリを排除します。

注目を集めた重大な侵害は、SaaS特有の露出に対処するためのSSPMの不可欠な必要性を強調しています。以下は、安全性の低いSaaSエコシステムがもたらす結末を示す最近のインシデントです。

ミッドナイト・ブリザードによる Microsoft 365 の侵害

ロシア政府の支援を受けた脅威アクターは、過剰な権限を持つレガシーなOAuthアプリケーションを悪用してMicrosoftのコーポレート メール システムに侵入し、経営陣の機密性の高い通信を流出させました。この攻撃は、設定ミスのあるSaaSアプリの統合を標的にすることで従来の防御をバイパスしました。しかし、SSPMがサードパーティのアクセスと権限レベルを継続的に監視していれば、フラグを立てて修復できたはずです。

クラウドフレアのアトラシアンでのサードパーティ トークン侵害

攻撃者は、以前のOktaの侵害で盗まれたOAuthトークンを利用してクラウドフレアのアトラシアン環境にアクセスし、ソースコードや内部ドキュメントを侵害しました。SSPMのポリシー適用により、サードパーティ アプリケーションの権限を制限し、休止状態のサービスアカウントを特定することで、古い認証情報によるラテラルムーブメントを防ぐことができたはずです。

フォーティネットの SharePoint データ漏洩

設定ミスのある Microsoft SharePoint インスタンスにより、顧客の認証情報や財務記録を含む 440GB のフォーティネット内部データの盗難が発生しました。SSPM の自動化された設定チェックがあれば、不適切な共有設定を検出し、機密ファイルへの最小権限アクセスを強制できていたはずです。

Snowflake のクレデンシャル悪用キャンペーン

ハッカーは、盗まれた認証情報とMFAベースの認証の欠如を利用して Snowflake の顧客アカウントを侵害し、165 の組織に被害を与え、5億9,000万件のレコードを露出させました。SSPM のID中心の制御があれば、MFA のギャップを発見し、IDベースの攻撃を軽減できたはずです。

SSPMは、プロアクティブ セキュリティ対策と自動化されたガバナンスを組み合わせて、SaaS特有の体制に対処します。その中核となる要素は、運用の俊敏性を維持しながら、進化する脅威に対する継続的な保護を確実にします。

継続的な監視

SSPMツールは、Microsoft 365やSalesforceなどのSaaSアプリケーションを継続的にスキャンし、設定ミス、シャドーSaaS、およびIDの露出を検出します。この絶え間ない監視により、公開ファイル共有設定、休止アカウント、パスワード違反などの問題を、侵害へと発展する前に特定します。

リスク評価

SSPMは、CISコントロールなどのベンチマークやMITRE ATT&CKなどの業界規格に照らして設定を評価することで、深刻度とビジネスへの影響に基づいてリスクに優先順位を付けます。Salesforceの過剰な権限を持つユーザーや、Microsoft 365における不適切なOAuth統合にフラグを立てます。これにより、ターゲットを絞った修復作業が可能になります。

ポリシーの適用

SSPMは、SaaSアプリ全体でセキュリティポリシーを自動化し、設定が組織のポリシーに適合するようにします。アプリの設定ミス、シャドーSaaS、およびIDの露出を発見して修復します。これらのアクションは、高度に分散化されたIT環境におけるヒューマンエラーの影響を軽減します。

修復

設定ミス、シャドーIT、またはIDの露出などのリスクが検出されると、SSPMはリスクに基づいた優先順位付けと、ITチーム向けのステップバイステップのガイダンスを提供します。未使用のアクセスの取り消しやユーザー権限の調整を行うことで、組織のアタックサーフェスを最小限に抑えます。

レポートと分析

カスタマイズ可能なダッシュボードは、コンプライアンスのステータス、露出の傾向、および修復の進捗状況を追跡します。SSPMは、CISやISO 270001などの規格向けのレポートを生成します。

「SaaSセキュリティには、一元化されたセキュリティチーム、各部門、エンドユーザー間の連携が必要です。SSPMソリューションはこれを促進します」と、ガーディナーは強調します。これらの構成要素は相乗的に機能し、断片化されたSaaSエコシステムを、安全に管理された資産へと変貌させます。SSPMは、生産性と堅牢なリスク低減のバランスを維持します。

SaaSアプリケーションは、分散型の管理と動的な設定により、特有のリスクをもたらします。2024年のSaaSセキュリティ調査では、約3割の組織が過去12ヶ月以内にSaaSのデータ漏洩に遭遇したことが明らかになりました。SSPMは、SaaSアプリケーション全体の可視化、制御、修復を自動化することで、これらの課題に対処します。

• SaaSアプリの設定ミス：公開ファイル共有設定、パスワードポリシー違反、MFAカバレッジのギャップなどの誤った設定は、機密データを露出させます。SSPMは、SaaS関連の侵害の原因となることが多いこれらのギャップを検出し、修復します。
• 過剰な権限によるアクセス：不要な権限を持つユーザーは、侵害のリスクを高めます。SSPMは最小権限の原則を適用し、攻撃者による権限昇格やラテラルムーブメントの機会を減少させます。
• シャドーIT：未承認のSaaSアプリの使用が急増しており、データ漏洩やコンプライアンス違反が蔓延する死角を生み出しています。SSPMは、これらの未公認SaaSアプリを発見・評価し、リスクに基づいた意思決定を可能にします。
• コンプライアンス違反：SaaSアプリの設定は、スコープ外の設定や監査のギャップにより、GDPR、HIPAA、PCI-DSSなどの規制におけるコンプライアンスの弱点を露呈させることがよくあります。SSPMは、設定を規制ベンチマークに適合させます。
• 安全でない統合：セキュリティが不十分な、あるいは不適切に管理された統合は、攻撃者によるデータ漏洩やアプリ機能の操作を許してしまいます。SSPMはサードパーティの接続を監査し、潜在的にリスクのある統合を検知します。
• 内部脅威：従業員が、SaaSアプリの使用や設定ミスを通じて、誤って、あるいは意図的にデータを露出させる可能性があります。SSPMは、これらのリスクを発見し、修復します。

「Google ドライブのURLへのリンクを介した Google ドキュメントのフィッシングやマルウェア配信を頻繁に観察しています」と、プルーフポイントのSaaS脅威検出のリード研究者であるマオール・ビンは述べています。「SaaSプラットフォームは、脅威アクターにとっても防御側にとっても『無法地帯』のままです。Google Apps Script のような新しいツールが急速に機能を追加する一方で、脅威アクターはこれらのプラットフォームを悪用する新しい方法を探しています」と彼は付け加えます。

これらの脆弱性に焦点を当てることで、SSPMはSaaS環境をセキュリティ上の負債から、回復力のある監査対応可能なビジネス資産へと変貌させます。

SSPMがSaaSアプリの設定を保護し、CSPMがクラウド インフラストラクチャを強化し、CASBがデータフローを検出し制御します。これらが組み合わさることで、進化するクラウドの脅威に対して多層的な防御を提供します。

SSPMは、SaaS特有のリスクに対処することで、業界全体でセキュリティの向上を実現します。以下は、組織がSaaSセキュリティ体制を改善したシナリオです。

メディア 大手のSaaSスプロール軽減

ある100億ドル規模のメディア企業は、機密コンテンツを露出させているシャドーITツールを含む、1,200以上のSaaSアプリに苦慮していました。SSPMは、IT部門が当初把握していたよりも250%多いアプリを発見しましたが、その多くが過剰な権限を持っていたり、未審査の統合が行われていたりしました。リスクの優先順位付けと修復ワークフローを自動化することで、この組織は2年間でセキュリティ体制のスコアを40%から85%に向上させ、潜在的な侵害コスト149万ドルを防止しました。

SaaSの導入が加速するにつれ、これらの動的なエコシステムを保護することは、データ漏洩、ランサムウェア、コンプライアンスのギャップなどのリスクを軽減するために不可欠となっています。SSPMシステムの必要性は明らかであり、SaaSアプリとそれに関連する脅威の拡散とともに高まる一方です。したがって、公認および未公認のSaaSアプリケーションのセキュリティリスクが、セキュリティチームにとっての次のセキュリティ コントロール フロンティアとなっていることは驚くべきことではありません。幸いなことに、プルーフポイントはこの課題に対処するお客様を支援することに尽力してきました。詳細については、お問い合わせください。