SaaSセキュリティとは?

SaaSセキュリティとは、SaaS(Software as a Service)アプリケーションを保護することであり、不正アクセス、シャドーIT、および企業や組織のIT運用にデータ侵害や混乱をもたらす可能性のあるその他のアプリケーション悪用のリスクを最小限に抑えることです。SaaSセキュリティには、ディープな可視性と、きめ細かなアクセス制御が必要です。

その他のSaaSに関するトピックを読む: 

ゼロトラストセキュリティソリューションを使用してアプリケーションを保護

SaaSアプリケーションのセキュリティレベルの高さは?

それは、SaaSアプリケーションへのアクセスがどの程度保護されているかに依存します。

SaaSプロバイダーは暗号化などの重要な手段を通じてSaaSアプリケーション自体を保護していますが、このクラウドソフトウェアのすべてをそのアクセスポイントで保護し、かつきめ細かに監視しない限り、企業や組織は真に安全ではありません。アプリケーションには、SASEの一部であるSD-WANインフラストラクチャと組み合わせた、セキュアWebゲートウェイ(SWG)やクラウドアクセスセキュリティブローカー(CASB)ソリューションのような厳格なアクセス制御が必要です。また、それらは、ITセキュリティチームにとって透過的でなければなりません。

ただし、このような階層化されたサイバーセキュリティを追加することで、その代償としてユーザーエクスペリエンスが低下することがあってはなりません。言い換えれば、SaaSセキュリティは、従来のセキュリティアーキテクチャ(MPLS WANを中心に構築されたもの)とは根本的に異なるものでなければなりません。従来型のセキュリティアーキテクチャは、すべてのトラフィックをデータセンター経由でバックホールすることで保護を強化しています。このような設定は、Microsoft 365やGoogle Workspaceなどの主要なクラウドアプリケーションの使い勝手を低下させます。

SaaSセキュリティは、次のことを目的としています。

  • アプリケーションをマルウェアや不正アクセスから保護すること
  • ユーザーエクスペリエンスに著しい影響を与えない方法で、それを行うこと。
  • すべてのクラウドアプリケーションの使用状況を綿密に追跡し、シャドーITを防ぐこと。
  • 帯域幅の過剰使用や個人的なMicrosoft 365およびGmailドメインの使用など、特定のリスクを制御すること。
  • 最終的に、オフィスであれリモートであれ、あらゆる場所を通じて統一されたセキュリティ体制と従業員エクスペリエンスを提供すること。

SaaSアプリケーションがもたらす固有のセキュリティ課題とは何ですか?

大まかに言えば、SaaSアプリケーションはすべて、オンプレミスのアプリケーションよりも簡単にアクセスできます。このような幅広いアクセシビリティは、企業や組織のセキュリティチームにとって、下記に示すようなアプリケーションセキュリティ上の重要な課題をもたらします。

シャドーIT

シャドーITとは、IT部門によって承認されていないアプリケーション(通常、SaaSのようなクラウド上にあるアプリケーション)を利用することです。組織によっては、実際、シャドーITがすべてのSaaS利用の大半を占めている場合もあります。このような行為は、サイバーセキュリティ上の重大なリスクを伴います。なぜなら、未検証のアプリケーションは、それ自体またはアクセスレベルにおいて、適切に保護されることが保証されないためです。このカテゴリーにおける顕著な例としては、個人用の電子メールドメインやソーシャルメディアの利用などが挙げられます。

パフォーマンスと帯域幅

クラウドアプリケーション(SaaSソフトウェアを含む)は、大量の帯域幅を必要とします。この事実は、SaaSセキュリティとSaaSの制御に2つの大きな影響を与えます。

  • 限られたネットワークリソースが過剰に消費された結果、他のユーザーのパフォーマンスに影響を与え、生産性を低下させる可能性があります。
  • 従来のサイバーセキュリティアーキテクチャ(MPLS WANインフラストラクチャなど)と衝突する可能性があります。MPLS WANインフラストラクチャは、帯域幅が不足しており、かつトラフィックをバックホールしなければならないため、速度が低下します。

データ損失

上記に関連して、認可されていないアプリケーションや、認可されていても安全なインターネットアクセスができないアプリケーションは、機密情報の漏洩やコストのかかるデータ侵害を引き起こす可能性があります。たとえば、従業員が個人用のクラウドストレージアカウントを自由に利用できる場合、機密データをアップロードし、後で同データをパーソナルデバイスにダウンロードすることが可能となります。この結果、機密データが外部に流出する可能性が高まります。

制限されないアクセス

SaaSソフトウェアは、特定の場所やデバイスによって縛られません。事実上どこからでもアクセスできる広範なネットワークアクセスは、SaaSのバリュープロポジションにとって不可欠な要素であると同時に、一般的なITセキュリティチームにとってリスクにもなります。チームは、従業員によるSaaSアプリケーションの利用方法を制御するために苦労することになります。不正使用を防止するためには、きめ細かなアクセス制御により支えられた、あらゆる場所に関する可視性が不可欠です。

レポート

ゼロトラストネットワークアクセス(ZTNA)のためのGartnerマーケットガイド:2020年度版

このレポートでは、ゼロトラストネットワークアクセス(ZTNA)の導入がもたらす直接的なメリットを紹介しています。

SaaSアクセスセキュリティを支える主な柱

適切なSaaSアクセスセキュリティ(例:SaaSベンダー/SaaSプロバイダー自身の権限内にない全セキュリティ)は、モダンな組織を運営する上で不可欠であり、これには次のような2つの柱があります。

全体的な可視性

企業や組織は、どのSaaSアプリケーションが、誰によって、どのような場所で使用されているかを把握する必要があります。また、企業や組織は、最も使用されているアプリケーション、関連するトラフィックレベル、ブロックされたマルウェアなどを追跡できる必要があります。

きめ細かな制御

生産性アプリケーション、ソーシャルメディア、およびその他のあらゆるタイプのSaaSアプリケーションは、セキュリティチームのポリシーに従って慎重に制限する必要があります。たとえば、Googleのアプリケーションは企業ドメインのみに限定できますし、Facebookのアクション(写真のアップロードなど)は厳しく制限できます。

それらの間で、これら2つの柱は、前述したSaaSセキュリティ目標のすべてを達成するために必要なサポートを提供します。これには、あらゆる場所やデバイスを通じてセキュアで生産的なユーザーエクスペリエンスを提供することや、シャドーITを減らすことが含まれます。

SaaSセキュリティを可能にする具体的なソリューションはどのようなものですか?

全体的な可視性ときめ細かな制御を実現するには、複数の特定ソリューションを組み合わせる必要があります。最も重要なソリューションとしては、次のものが挙げられます。

SWG

SWGとは、SaaSアプリケーションを含むネットワークトラフィックをフィルタリングし、適用可能なセキュリティポリシーを実施するサービスです。IT部門はエンドユーザーとインターネットの間に位置し、従業員が各SaaSベンダーのアプリケーションに接続する際に、マルウェアを排除するための重要な仲介役となります。

CASBソリューション

CASBは、アクセスに関連するさまざまなタイプのサイバーセキュリティを統合します。たとえば、CASBは、シングルサインオン、デバイスプロファイリング、多要素認証、マルウェア防御などを実施します。SWGと同様に、CASBは、SaaSアクセスのサイバーセキュリティゲートキーパーのようなものとして機能します。

データ損失防止(DLP)ツール

DLPソリューションは、ユーザーが各自のデバイスを通じてアクセスできるデータの種類、情報をネットワーク経由で送信する方法、そして情報の保存場所と保存方法を制御することで、データ漏洩のリスクを軽減します。このようなDLPソフトウェアを使うと、データ侵害やSaaSの悪用によるリスクを抑制できます。

これらのすべてのサイバーセキュリティツールは、他のツールと一緒に、SASEアーキテクチャに組み込むことができます。このような保護機能は、SD-WANインフラストラクチャと連携して動作することで、あらゆる場所を通じて予測可能でセキュアなアプリケーションパフォーマンスを提供します。

SaaSアクセスセキュリティを実現するシトリックスソリューション

シトリックスは、Citrix Secure Internet Accessを中心として、SaaSソフトウェアを保護する複数のセキュアアクセスソリューションを提供しています

  • Citrix Secure Internet Accessとは、セキュアなダイレクトインターネットアクセスと、CASBソリューション、SWGインフラストラクチャ、SD-WANサービス、DLPソフトウェアからなる、SASE保護の包括的なスイートを組み合わせたものです。その結果、パフォーマンスを損うことなくセキュリティを実現できます。
  • Citrix Secure Workspace Accessは、コンテキストに応じたセキュリティを実現することで、あらゆる場所を通じてユーザー、データ、およびアプリケーションを保護します。同ソリューションは、ユビキタスなSaaSソフトウェア環境向けに最適化されたゼロトラストアプローチを使用します。

Citrix WorkspaceでSaaSアプリケーションを保護する方法を見る