あなたの会社は大丈夫？3分の1の組織はSaaS構成の全容が不透明という調査結果

業務のデジタル化を推進する上で、頼もしいサポーターとなるのが各種クラウドサービスです。中でもSaaSは導入ハードルの低さやコストパフォーマンスの高さから、多くの企業で積極的な導入が進められています。

ただ、導入したSaaSを適切に管理できなければ、組織に重大なセキュリティリスクをもたらす懸念もあります。

2024年8月に公開されたレポートによると、自社のSaaS構成の全容がよくわからないまま放置しているという企業は、回答企業の3分の1にものぼることがわかりました。

AppOmniが発表した世界のSaaSセキュリティの現状

アメリカのソフトウェア企業であるAppOmniは2024年8月、SaaSセキュリティに関する年次レポート「The State of SaaS Security 2024」の中で、次のような調査結果を発表しています。

対象となったのは、アメリカ、イギリス、日本、フランス、ドイツ、オーストラリアの6カ国における、合計644の企業の回答です。いずれの組織における回答者もセキュリティに関する意思決定者であり、組織の中ではセキュリティに関する知見に優れた人物であることが定義されています。

34%が組織内SaaSの数が分からないと回答

調査の結果、判明したのは全体の34%、およそ3分の1を超える企業にて、自社で運用しているSaaSの数がわからないと回答した事実です。

また、クラウドプラットフォーム「Microsoft 365」の利用者に対し、プラットフォームに接続されているアプリの数を把握しているかの質問に回答を求めたところ、49%は10未満と回答しています。

しかし実際のところ、AppOmniのデータによるとMicrosoft 365を運用している企業では、実に1,000を超えるアプリケーションが運用されていることも判明しました。

いずれの調査結果も、社内のセキュリティの意思決定者が正確に自社のクラウド運用状況を把握できておらず、重大なセキュリティホールを生み出している可能性があることを示しています。

SaaSインシデントの数も増加傾向に

このようなセキュリティ懸念を裏打ちするように、同調査ではSaaS関連のインシデント発生件数が増加していることも警告しています。

SaaS運用に関連したデータ漏えいは、前年に比べて5ポイント増加の31%に達しており、SaaSのセキュリティをサイバーセキュリティチームに任せていると回答している企業も、15%にしか達していません。

多くの企業において、インシデントの予防だけでなく、インシデント発生後の事後対応について多くの不安を抱えていることが、調査から明らかになりました。

SaaS構成が曖昧であることのセキュリティリスク

SaaS構成への組織的な理解が進んでいないことは、具体的にはどのようなリスクを企業にもたらすのでしょうか。

まず考えられるのは、それぞれのSaaSが具体的にどのような潜在リスクを抱えているのかがわからず、インシデントの防止や迅速な復旧が困難になる問題です。

サイバーセキュリティを強化する上で重要なのは、既知の脅威に対して万全の対策を施し、未知の脅威によるリスクを最小限に抑えることです。

SaaS構成が不透明だと、どんなところでリスクがあるのかがわからず回避できたはずの脅威に晒されたり、何が原因でインシデントが発生しているかの分析が遅れ、復旧が遅れてしまったりするような問題を生み出してしまいます。

また、相応のコストをかけてシステム運用管理体制やセキュリティシステムを構築したにもかかわらず、期待しているような対策効果が得られなくなる問題もあります。

設計段階では想定していない、未確認のSaaSが現場で頻繁に使用されることで脆弱性をもたらし、インシデントに発展するケースです。

このような事態は組織に重大な損失をもたらすだけでなく、セキュリティに関する費用対効果を著しく毀損するリスクもあるため、回避すべき事態と言えるでしょう。

クラウド活用の現状把握と改善点の把握に注力を

SaaS運用に脆弱性をもたらす要因は、上述のような社内における運用状況の不透明さです。社内のデータベースや他のシステムと連携してSaaSを運用する場合、どこでどのようにSaaSが用いられているかがわかっていないと、重大なインシデントに発展しかねません。

このような事態に発展するそもそもの原因の一つには、場当たり的なSaaS導入が挙げられます。既存システムの構成を踏まえずにSaaSを導入していくことで、既存のセキュリティ対策ではカバーできない状況に陥るケースが少なくありません。

まずは既存のSaaS運用状況をくまなく洗い出し、セキュリティ評価と必要な対策の検討を進めることが大切です。