企業によるクラウドサービスの採用が急速に増え続けるなか、無数のオプションにセキュリティ対策を適応させる必要性も高まっています。従来のベストプラクティスは、今でも強固な基盤となっています。しかしながら、御社のセキュリティオペレーションが可視性を維持し、重大なリスクや脆弱性を制御・予防できるように、クラウドへの移行の対象となる各テクノロジーに応じた課題やソリューションを検討することが求められています。今回のシリーズでは、Platform as a Service、Infrastructure as a Service、Software as a Serviceの3つのサービス形態におけるアプローチについて説明し、企業の安全を確保するために必要となる新しいオペレーションやツールの例を紹介したいと思います。今回の投稿では、Software as a Serviceに焦点を当てて説明します。
Software as a Service
Software as a Serviceを簡単に理解するには、おそらく従来のITソフトウェアの購入の仕方から学ぶのが一番だと思います。SaaSは、Office 365、Salesforce.com、Google Docs、WebExなどのすでに認知されている製品を幅広くカバーしています。ソフトウェアは、購入して個々のコンピューターにインストールするのではなく、サブスクリプションの形でオンライン配信されます。
SaaSの一部の形態では、Webにアクセスすることによってサービスを利用する方法が採用されています。そのほかには、従来のようなオンデバイス型のソフトウェアを使用しながら、オンラインによるライセンス管理や自動更新などの利点を享受できる仕組みもあり、短期間のうちに世界中の企業に採用されています。
SaaSは、ユーザーにクレデンシャル情報を要求したり、データにアクセスする前に更新を適用したり、アクセス管理を一元化して権限を可視化したり、さらには追加のセキュリティコントロール(リモートワイプなど)を提供したりというように、組織のセキュリティに数多くの恩恵をもたらしています。このような機能は、セキュリティチームにとって大きな助けとなるでしょう。
しかしながら、SaaSでは、セキュリティの対象領域が特定しにくいという欠点もあります。オンラインサービスにおけるリスク緩和策は、ベンダーの裁量に委ねられており、企業のセキュリティチームは関与できません。データの保護に有効なコントロールの構成には、オンプレミスのセキュリティオペレーションとは異なるアプローチが必要になる場合があります。その場合、既存のセキュリティコントロールとの整合性を確保する(または強化する)ようにコントロールを設定・維持するためには、追加の人的資源が必要になる可能性があります。
SaaSへの適応
SOCのオペレーションをSaaS向けに適応させる際にセキュリティチームが考慮すべき特殊な要素がいくつか存在します。SaaSのためのセキュリティ計画において、私が最も重要であると考える3つの項目について考察したいと思います。
製品の評価
SaaSソリューションを評価する際には、ベンダーのセキュリティ実績と、脆弱性の解決のためのサービスレベル契約(SLA)を理解することが重要です。幸いなことに、現在のようなインターネット時代には、以前よりずっと簡単にベンダーについて調べることができます。ただし、ベンダーとの橋渡しをするパートナーについても確実に知っておくことが必要です。サービスの評価にセキュリティチームが関与すれば、どのようなセキュリティコントロールを新しく実装する必要があるかがわかるため、導入のスピードアップが図れるでしょう。投資する前にどれだけの労力がかかるかを理解しておけば、人員要件、必要なユーザー/ライセンス数などの重要な決定を行いやすくなります。
コントロール
多くのSaaS製品では、セキュリティに影響を与える構成の選択肢がいくつもあります。たとえば、認証オプション、エンドポイントの検証、地理ベースのアクセスコントロール、内部アプリケーションに対するロールベースのアクセスコントロールなどがありますが、適切なレベルのセキュリティ制限を適用できるように、それらの詳細を調査しておかなければなりません。
既存のセキュリティプログラムを使用している場合、既存のオンサイト製品の戦略を取り入れて、コントロールの内容をクラウド環境で使用可能な製品に関連付けて採用する企業もあれば、この機会にSaaSアプリケーションのツールキットを反映するセキュリティモデルを再検討・構築する企業もあります。どちらのやり方でもうまくいく可能性はありますが、ベンダーと共に検討を行ったり、セキュリティ企業の助言を取り入れたりすることが重要です。CISやベンダー固有のガイドラインを活用して、セキュリティシステムを進化させ、セキュリティ態勢の大幅な改善に導くことのできる新しいコントロールを実装する必要があります。
セキュリティ製品のメカニズムをテストすることも肝心です。たとえば、SaaSユーザーのアカウントを無効化することの意味を知ることは、データの漏洩に関連するリスクを理解することにつながります。多くのSaaS製品では、アカウントを無効にすると、そのユーザーはデータにアクセスできなくなります。しかし、SaaSツールが何らかの「オフライン」アクセス機能を提供していれば、ユーザーはオフラインで作業しながら、重要なデータに引き続きアクセスできることになり、コントロールの回避が可能になります。このようなとき、適用したコントロールメカニズムが警告を発し、データの持ち出しを阻止できる可能性があります。
リモートワイプ機能を備えたアプリケーションは、このようなリスクの回避に役立ちます。しかし、ここで重要なのは、コントロールを使用することの意味を認識し、その制限を完全に理解して、リスクの潜在的な影響を最小限に抑えるためにさらなるステップを実行できるようにすることです。
可視性とレポート機能
セキュリティコントロールが実装されたら、それを維持して、問題の特定と解決が速やかに行われるようにすることが肝要です。御社の新しいSaaSツールに関連する新たなセキュリティリスクを知るために、新しいデータソースを利用できるように登録を行ったり、適切な監査ログを保持しておくといった対策によって、SaaSの実装を最高の状態に保つことができるでしょう。
特に、セキュリティログツールを導入して、組織の外で何が起こっているのかを御社のセキュリティオペレーションチームが把握できるようにすることを検討するとよいでしょう。重要な情報をタイムリーにかつ実用的な方法で入手できるようにすることにより、災害の予防が可能になるのです。
SaaSのセキュリティについて、すべての従業員に報告しておくことも大切です。御社のSaaS環境に関する追加のセキュリティ情報のレポートを作成するために、どの程度の労力が必要か、あるいは、企業全体のセキュリティ対策の成果を的確にまとめるにはどうすればよいかについても検討しておきましょう。もし、ベンダーが、御社のソリューションを保護するためのメカニズムの大半を管理しているのであれば、脆弱性スコアや組織内SLAの順守についても再考の余地があるでしょう。
次回の予告
SaaS対応の環境に合わせて御社がセキュリティ戦略を調整する際に、この記事がその最初のステップを理解していただく一助となることを期待します。このシリーズの次の記事では、Platform as a Service(PaaS)環境への適応策について考察いたします。
________________________________________
クラウドサービスモデルに関するその他の記事:
1. Secure Configuration in Cloud – IaaS, PaaS and SaaS
2. クラウドサービス向けセキュリティの考察:PaaS編
3. クラウドサービス向けセキュリティの考察:IaaS編
トリップワイヤ・ジャパンでは脆弱性管理、法規制遵守、インシデント対応やサイバーセキュリティに関する有益な情報をお届けしております。すべてのカタログ、セキュリティに関する情報はこちらからダウンロードいただけます。Tripwireセキュリティ リソース
