SaaSとは？リスクとセキュリティ対策

SaaS（読み方：サースまたはサーズ）は、何百万人ものプロフェッショナルが毎日利用しているコスト効率の高いソフトウェア ソリューションです。BetterCloudの2025年レポートによると、現代の組織は平均106個のSaaSアプリケーションを利用しています。しかし、その多くが忘れられ放置されており、それがセキュリティの脆弱性を悪化させています。

SaaS製品の広範な普及は、かつてない利便性と拡張性をもたらしました。しかし、同時に世界中のCISOやサイバーセキュリティのリーダーに戦略的な対応を迫る、複雑なセキュリティ上の課題も生み出しています。たった1つのSaaSの脆弱性を突いて数千の組織に影響を与えた最近のMOVEitの侵害事例は、クラウドベースのリスクがいかに迅速にビジネスエコシステム全体へと連鎖し得るかを証明しています。

SaaS（Software as a Service）は、プロバイダーがアプリケーションをホストし、ユーザーがウェブブラウザやモバイルアプリを通じてオンラインでアクセスするクラウドベースのソフトウェア配信モデルです。ユーザーは月額または年額のサブスクリプション料金を支払うことで、自身のローカルシステムにソフトウェアをインストールしたり保守したりする必要なく、これらのアプリケーションを利用できます。プロバイダーは、インフラ管理、ソフトウェア アップデート、セキュリティパッチ、システムメンテナンスのすべてをバックグラウンドで処理します。

代表的な例としては、オフィススイートのMicrosoft 365や、CRM（顧客関係管理）のSalesforceなどが挙げられます。これらのプラットフォームにより、ユーザーはインターネット接続があればどこからでもアプリケーションやデータにアクセスすることが可能です。このモデルは、初期のライセンス費用を撤廃し、ITのオーバーヘッドを削減することで、企業のソフトウェア利用のあり方に革命をもたらしました。

サイバーセキュリティの観点から見ると、SaaSアプリケーションには、サードパーティ環境に保存された機密データを保護するための特別なセキュリティ制御が必要です。組織は、クラウドベースのアセットに対する可視性と制御を維持するために、適切なアクセス管理、データ分類、およびモニタリング ソリューションを導入しなければなりません。SaaSが提供する利便性は、多くの組織が誤解しがちな責任共有モデルを生み出すため、セキュリティへの影響を慎重に検討する必要があります。

プルーフポイントのプロダクトマネージャーであるヴァムシー・コドゥルは、「SaaSアプリケーション ベンダーは、自社のソリューションにかなりのレベルのセキュリティを組み込んでいます」と述べています。しかし、アクセス制御の適切な設定、ユーザー権限の管理、およびアプリケーション内の機密データの保護については、引き続き顧客側が責任を負います。コドゥルは、「SaaSデータの侵害が発生した際、クラウドプロバイダーと顧客の間には責任の共有があることを認識することが重要です。また、SaaSアプリケーションに関連するリスクを最小限に抑えるために適用できるベストプラクティスが存在します」と警告しています。

適切なデータガバナンスが欠如していると、SaaS環境は、脆弱な認証、権限の設定ミス、あるいは不十分なDLP制御を悪用しようとするサイバー犯罪者の格好の標的となる可能性があります。

SaaSは、DVDを購入する代わりにNetflixでストリーミングするようなものだと考えてください。全従業員のコンピュータにソフトウェアを購入してインストールするのではなく、チームはインターネット接続があればどこからでもウェブブラウザを通じてアプリケーションにアクセスできます。その仕組みはプロバイダーのデータセンターにあり、強力なサーバーがソフトウェアをホストし、リクエストをリアルタイムで処理します。

配信プロセスは非常にシンプルです。ユーザーがウェブ インターフェースを通じてアカウントにログインすると、リクエストは安全なインターネット接続を介してプロバイダーのインフラに送られ、ソフトウェアが即座に応答します。これにより、会計チームは東京の本社にいてもサンパウロでリモートワークをしていても、同じ財務アプリケーションにアクセスできます。プロバイダーのサーバーが負荷の高い演算をすべて処理するため、ユーザーのデバイスはインターフェースを表示するだけで済みます。

ローカルへのインストールが不要になることで、IT運用は完全に変わります。セキュリティチームは、何百台ものエンドポイントに対するパッチ管理や、異なるOS間の互換性の問題を心配する必要がなくなります。アップデートはクラウド上で自動的に行われ、ダウンタイムやメンテナンス時間を設けることなく、すべてのユーザーに新機能が同時に提供されます。このアプローチにより、サイバーセキュリティの脆弱性とITスタッフの管理負担の両方が軽減されます。

クラウド コンピューティングに不慣れな方は、車を所有することとライドシェアサービスを利用することの違いを想像してみてください。SaaSを利用すれば、サーバー、ライセンス、技術的なメンテナンスといった所有に伴う責任を負うことなく、エンタープライズ レベルのソフトウェアにアクセスできます。

SaaSの機能を理解することは、セキュリティリーダーがクラウド アプリケーションを評価し、適切な保護戦略を構築するのに役立ちます。これらの特徴は、SaaSを従来のソフトウェアモデルと区別するものであり、企業のサイバーセキュリティにおいて機会と課題の両方を生み出します。

各機能は、組織におけるデータガバナンス、アクセス制御、およびリスク管理のあり方を左右します。SaaSの主な特徴は以下の通りです。

• オンデマンドアクセス： インストールの遅延なく、ウェブブラウザを通じてアプリケーションに即座にアクセス
• サブスクリプション モデル： 巨額の初期費用ではなく、予測可能な月額または年額の料金体系
• 自動アップデート： 顧客側のダウンタイムなしに、プロバイダーがパッチ適用とメンテナンスを担当
• 拡張性： ビジネスニーズに基づいて、ユーザーや機能を即座に追加・削除可能
• マルチテナンシー： 顧客間でデータを厳格に分離した共有インフラストラクチャ
• グローバルなアクセシビリティ： インターネット接続とデバイスがあれば、場所を問わず作業が可能
• セキュリティの責任共有： プロバイダーがインフラを保護し、顧客がアクセスとデータを管理

SaaSの機能を理解することは、セキュリティリーダーがクラウド アプリケーションを評価し、適切な保護戦略を構築するのに役立ちます。

現代のオフィスを見渡せば、SaaSが標準的なツールとして定着していることがわかります。従業員は、データがどこにあるのか、あるいはソフトウェアがどのように更新されるのかを意識することなく、クラウド アプリケーション間をシームレスに切り替えています。この変化は、驚異的な効率性の向上をもたらした一方で、CISOを悩ませる新たなセキュリティの死角も生み出しています。

生産性アプリケーション

これらのSaaSアプリケーションは、何百万人ものナレッジワーカーにとって、デジタル ワーク スペースの基盤となっています。Microsoft 365やGoogle Workspaceは、メールやドキュメント作成から、国を越えたリアルタイムの共同作業まで、あらゆる業務に対応しています。ロンドンのマーケティングチームがシンガポールの同僚と同じプレゼンテーション資料を同時に編集できるといった利便性がある一方で、企業の機密文書が従来のセキュリティ境界を越え、サードパーティのサーバーを経由して流れるようになったことも意味しています。

CRM（顧客関係管理）

SalesforceやHubSpotのようなCRMプラットフォームは、多くの企業にとってのクラウンジュエルとも言える顧客データや営業インテリジェンスを保管しています。これらのシステムは、見込み客や顧客とのあらゆるやり取り、会話、取引を記録します。主要なSaaSプロバイダーであるCRMプラットフォームが侵害を受けた場合、その波及効果によって、長年にわたる機密のビジネス関係や競合上のインサイトが露呈する恐れがあります。

コラボレーション ツール

SlackやZoomといったコラボレーション プラットフォームは、チーム間のコミュニケーションや情報共有のあり方を一変させました。これらのプラットフォームでは、詳細なビジネス上の対話や戦略立案のセッション、機密プロジェクトの議論などが行われます。セキュリティチームは、従業員がコンプライアンスへの影響を考慮せずに、チャットチャネルで機密データのスクリーンショットを気軽に共有したり、機密情報を含む会議を録画したりといったケースに頻繁に遭遇します。

サイバーセキュリティ ソリューション

Proofpoint Email ProtectionやCrowdStrike Falconは、ある種の矛盾ともいえるユニークな構造をしています。 クラウドセキュリティの脅威から組織を守るためのツール自体が、クラウドベースのSaaSとして提供されているという点です。これらのアプリケーションは、膨大な量のセキュリティテレメトリーや脅威インテリジェンスを処理し、巧妙な攻撃から組織を防御します。ここでの課題は、セキュリティを提供するために設計されたプラットフォームそのものをいかに保護するかという点にあります。

これらのモデル間では、責任の境界線が劇的に変化します。IaaSの顧客はOS以上のレイヤーのセキュリティを担当し、PaaSのユーザーはアプリケーションレベルの保護に専念します。そしてSaaSの顧客は、主にユーザーのアクセス制御とデータ分類を管理します。この段階的な推移は、SaaSが最も制御の自由度は低いものの、社内のITチームにとってのセキュリティ負担も最小限であることを意味します。

サイバーセキュリティの専門家にとって、SaaSは最高の利便性と、「プロバイダーへの信頼が厳しく問われる」という大きな課題の両面を象徴しています。本質的には、データを外部に預け、プロバイダーが自社で構築する以上の強固なセキュリティを実現していることを前提とすることになるからです。

SaaSが成長し続けているのは、チームがこのモデルに真の価値を見出しているからです。Gartnerは、2025年に世界中の企業がSaaS製品に3,000億ドルを投資すると予測しています。これは、2024年の2,508億ドルから前年比で20%近い増加となります。SaaSが従来のソフトウェア ソリューションよりも主流となっているのには、多くの理由があります。

• コスト効率： 予測可能なサブスクリプションが、サーバーへの設備投資や永久ライセンスに取って代わります。支出がハードウェアの更新サイクルではなく利用状況に応じて変動するため、財務リーダーは機敏性を維持できます。
• アクセシビリティと柔軟性： 従業員は、ナイロビのカフェからでもトロントの自宅からでも、同じワークスペースにアクセスできます。安全なブラウザアクセスにより、複雑なVPNの導入なしにハイブリッドワークをサポートします。
• 迅速な導入： 新しいチームは数時間で稼働を開始できます。地方の営業所が昼食前にCRMを試験導入し、金曜日までに全地域に展開することも可能です。
• 拡張性： アカウント数、ストレージ、高度な機能は、ビジネスの需要に合わせて拡大・縮小できます。この拡張性は、季節性のある小売業者や急成長中のスタートアップの双方に適しています。
• 継続的なアップデート： プロバイダーはバックグラウンドで新しいセキュリティパッチや機能をリリースします。ユーザーは、常に最新の機能を利用でき、脆弱性が低減された状態で業務を開始できます。
• IT負担の軽減： ベンダーがバックアップ、稼働時間、インフラの調整を担うため、社内スタッフは戦略や脅威ハンティングに専念できます。このシフトにより、貴重な人材をより付加価値の高い業務に充てることが可能になります。

世界のセキュリティチームは、SaaSのようなサードパーティに関連する脅威を全面的に受け入れていますが、このモデルには実際のリスクが伴います。最近のレポートでは、世界の組織の約3割（31%）がSaaSのデータ侵害を経験していることが示されています。

Verizonの「2025年度データ侵害調査報告書」で強調されているように、「サードパーティ関係の中でも、より管理を任せている側において、特定の業界をサポートし、その重要なプロセスの一部を自動化する専門的なSaaSプロバイダーが急増していることがわかります」。

「これらはコスト削減や業務効率の分析という面では有益かもしれませんが、サイバーセキュリティリスクと運用リスクのベン図の重なりを、1つの円へと近づけてしまいます」。この警告は、利便性はリスクを消し去るものではないという共通認識を示唆しています。

• データセキュリティとプライバシー： 顧客データはサードパーティのサーバーに置かれるため、プロバイダーの環境内で侵害が発生すればトップニュースになる可能性があります。暗号化、強力なIAM、および継続的なモニタリングにより、物理的に制御できなくなったギャップを埋める必要があります。
• 規制コンプライアンス： データが国境を越える場合でも、GDPR、CCPA、シンガポールのPDPAなどの規則が適用されます。チームは情報の所在をマッピングし、プロバイダーに監査証拠を要求しなければなりません。
• ベンダーロックイン： ワークフロー、データモデル、および統合が1つのプラットフォームに根付くにつれ、乗り換えコストが増大します。移行やデータポータビリティをカバーする契約条項により、将来の負担を軽減できます。
• カスタマイズの制限： SaaSのリリースは共有のロードマップに従うものであり、個別の要望に基づくものではありません。セキュリティチームは、CASBやAPI主導の制御を重ねることで、柔軟性のない設定に対処することがあります。
• インターネット依存： ナイロビでの光ファイバー切断や地域的なBGPの問題により、数分で業務が停止する可能性があります。柔軟性のある接続プランとオフライン時の予備計画により、コアプロセスを維持する必要があります。
• シャドーITの拡散： 従業員はクレジットカード1枚でセキュリティ審査を回避してアプリを使い始めることができます。一元化された検出ツールと厳格なSSOポリシーにより、この混乱を制御します。
• 責任共有のギャップ： プロバイダーはインフラを保護しますが、データとアクセスは顧客の責任です。明確なRACIマトリックスと定期的な机上演習により、タスクの漏れを防ぐことが重要です。

各課題は、SaaSセキュリティのブループリントの必要性を再認識させます。すなわち、データの分類、最小権限アクセスの徹底、すべてのログ記録、およびプロバイダー側の管理実態を可視化させることです。

SaaSにはどのようなセキュリティリスクがあるのでしょうか？端的に言えば責任共有です。プロバイダーは物理的なスタックを保護しますが、ID、データ、およびポリシーの適用は利用側のチームが責任を負います。「2025年 CSA SaaSセキュリティの現状調査」によれば、86%の組織がSaaSセキュリティを最優先事項としており、76%が予算を増額しています。

強力な制御はIDから始まります。SSO（シングルサインオン）とMFA（多要素認証）を組み合わせることで、盗まれた認証情報の利用を阻止できます。Verizon DBIRは、今年のSaaS侵害の半数が認証情報の盗難に関連していると指摘しています。データは常に暗号化されたチャネルを通じて転送され、暗号化されたストレージに保存されるべきです。また、継続的なログ記録と行動モニタリングにより、境界防御ツールをすり抜けるラテラルムーブメントを検知します。

SaaSアプリケーションをどのように保護すればよいでしょうか？多くのチームは、CASBを導入してきめ細かなポリシーを適用し、DLPエンジンで承認済みゾーン外への機密データの流出を監視しています。より新しいDSPM（データセキュリティ体制管理）プラットフォームは、マルチクラウド環境全体のすべてのオブジェクトをマッピングし、数日ではなく数分で露出経路を特定します。プルーフポイントは、これらの柱を統合されたビューに集約しています。セッション制御のためのCASB、コンテンツ検査のためのエンタープライズDLP、そして高度なメールからSaaSへの攻撃を着信前にブロックする脅威インテリジェンスを提供します。

さらに、現在ではこの組み合わせにSSPM（SaaSセキュリティ体制管理）を加えるチームも増えています。SSPMプラットフォームは、各テナントのリスクのある設定、放置された権限、露出したデータ共有をスキャンし、迅速な修復をガイドします。これらは、リアルタイムのセッション制御を行うCASB、コンテンツ検査を行うDLP、クロスクラウドのマッピングを行うDSPMと並んで機能します。プルーフポイントはこれらのシグナルを統合するため、セキュリティスタッフは設定ミス、データ損失イベント、脅威アクティビティを、3つのコンソールではなく1つのコンソールで確認できます。

明確な責任の所在がなければ、制御策はほとんど意味をなしません。誰がパッチを適用し、誰がログを確認し、誰がバックアップをテストするかを定義するRACIチャートを作成することで、小さなギャップが侵害のニュースへと発展するのを防ぐことができます。あらゆるSaaSインシデントの教訓はシンプルです。「プロバイダーを信頼しつつ、自らの責任範囲を検証せよ」ということです。

SaaSが進化し続けるにつれ、組織はAIの統合を強化し、業界特化型のソリューションへと移行し、ゼロトラスト セキュリティを採用し、絶えず変化する規制環境に直面することになるでしょう。これらのトレンドは、高度なSaaS保護対策の必要性を浮き彫りにしています。

• AIの統合： ベイン・アンド・カンパニーは、「AIはSaaSに破壊的変革をもたらし、プラス面とマイナス面の両方を生み出している」と報告しています。「IntercomやSalesforceといったリーダー企業は、すでにこの方向へと舵を切っています」。AIエージェントがコンテンツを作成し、サポートチケットを優先順位付けし、リスクのあるユーザー行動をリアルタイムで特定するようになります。セキュリティリーダーは、各モデルがどのようにデータを取り込み、プロンプトがどこに保存されるかを精査しなければなりません。
• 業界特化型SaaS： ヘルステック、リーガルテック、フィンテックといった業界特化型のクラウドが、業界横断型スイートと比較して急速に成長しています。深いドメイン知識が、HIPAA、PCI、あるいは地域のプライバシー法規制などの組み込みコンプライアンスと組み合わさります。その専門性の高さは、より厳格なベンダー評価が必要であることを意味します。業界ルールの解釈ミスがあれば、そのリスクもそのまま引き継ぐことになるからです。
• ゼロトラスト セキュリティ： プルーフポイントの2025年の最新サイバーセキュリティトレンドによると、「かつてクラウド コンピューティング、モバイル、ゼロトラストは単なる流行語に過ぎませんでしたが、今や組織のビジネスの仕組みに不可欠な要素となっています。2025年の最新のサイバーセキュリティ トレンドはAI技術、特に生成AIを中心に回っており、購入者の視点からより厳密に精査され、多くの企業がそれらをサードパーティリスクと見なしています」。
• 規制の変化： EUのNIS 2指令やインドのデジタル個人データ保護法は、侵害の報告義務を強化し、より高額な罰金を課しています。SaaSの契約には、データの所在地、監査権限、およびインシデント対応のSLAを平易な言葉で明記する必要があります。

未来のSaaSスタックは、よりスマートで専門化し、脆弱な制御に対してはるかに厳しくなるでしょう。選定、オンボーディング、そして日々の運用にセキュリティを組み込むことが、唯一の持続可能な道であり続けます。

Proofpoint SaaS Protectionは、脅威インテリジェンス、DLP、サードパーティ製アプリの制御、およびリスクベースのレスポンスを1つのクラウドネイティブプラットフォームに統合し、現代のSaaS環境が求める一元的な可視性と自動化された制御をセキュリティチームに提供します。無料のSaaSリスクアセスメントを利用することで、攻撃者よりも先に設定ミスやシャドーアプリを特定できるため、セキュリティやコンプライアンスを犠牲にすることなく、クラウドのスピードを最大限に活用できます。詳細については、プルーフポイントまでお問い合わせください。