SaaSセキュリティへの取り組みにはアイデンティティ保護とデータ・セキュリティの見直しが重要-ガートナー

ガートナージャパン株式会社 (以下Gartner) は、SaaSセキュリティへの取り組みにはアイデンティティ保護とデータ・セキュリティの見直しが重要であるとの見解を発表した。

 

SaaSのセキュリティを盤石にしてデジタル化の推進を加速するには

日本企業におけるクラウド・サービスの利用が拡大していることは、今更述べることもない。そのクラウド・サービス中でも特にSaaSの利用は増え続けている。
SaaSの利用は、企業のデジタル化推進の取り組みにおいてはほんの一部でしかない。しかしながら、SaaSについて、どのようにすればセキュアになるのか、セキュリティのために何が必要なのかといった点に確証が持てず、戸惑いを見せているITリーダーやセキュリティのリーダーが多く存在する。このような問いに対し、アナリストでディレクターの矢野 薫氏は次のような見解を述べています。

「セキュリティが理由でSaaSの活用が進まないと、単にSaaSのメリットを享受できないだけでなく、企業全体のデジタル化の推進自体が減速することになります。これは企業にとっては大きな問題です。自社の競争力強化のためにデジタル化を加速させたいという場合はなおさらです。SaaS利用というクラウド活用のファースト・ステップで立ち止まっていたり、後れを取ったりしている場合ではありません」

SaaSアプリケーションに対するアクセスを制御し、機密データを保護することは、現在のセキュリティ脅威の下でビジネスの安全性を確保するために欠かせない。
また、昨今の厳格なプライバシー規制がもたらす課題も増加しており、企業が継続的にビジネス成果を実現していくためにも、進化し続ける要件にタイムリーに対処する必要もある。

このような環境において、SaaSセキュリティの課題として以下の3点が挙げられる。

課題1:ルールがない

これまでのセキュリティは、オフィスやデータセンターなどの閉域網での利用が前提であった。
この場合、アイデンティティとデータの保護に対するルールを細かく設定しなくても、境界型のセキュリティ対策を強化することでセキュリティ全体のリスクを下げられていた。
しかし、SaaSの活用により業務アプリケーションがこれまでの閉域網からクラウドへ移行したことで境界はなくなり、IT/セキュリティ・リーダーは、アイデンティティやデータの保護をSaaSごとに実装する必要に迫られている。

課題2:設定とレベルがばらばらである

SaaSの場合は、それぞれのアプリケーションにおいて個別に認証、アクセス管理、データ保護を行う必要があり、何もしなければセキュリティの分散化が進むことになる。
数多くのSaaSを利用するようになればなるほど運用は煩雑になり、また、利用するSaaSによって実装できるセキュリティ機能に差があるため、セキュリティのレベルを一定に保つことが難しくなるという一面もある。

課題3:SaaSの評価と採用に手間が掛かる

SaaS採用の際にはチェックリストなどを用いて個別にセキュリティ機能を評価するものの、最近はユーザー部門からのリクエストが多いこともあり、IT部門だけでは対応できない事情もある。
そのため、IT部門に代わってユーザー部門にチェックを担当してもらうケースもみられるが、ITやセキュリティの専門用語が並ぶチェックリストに戸惑うユーザーも多くいる。
SaaSは「すぐに使える」ことがメリットであるにもかかわらず、このようなセキュリティ評価に時間を要することでSaaSの採用に時間がかかり、SaaSのメリットを生かせないといった状況が見られるようになってきている。

 

このようなSaaSセキュリティに関する前述の3つの課題を踏まえ、前での矢野氏は次のように述べている。

「SaaSセキュリティにはさまざまな対策がありますが、例外なく取り組む必要があるのがアイデンティティとデータの保護です。この際に重要なことは、これまでのように『本人であればアプリケーションの利用を許可する』といった粒度のルールを適用するのではなく、『このユーザーは本当にそのアクセスが必要なのか』をアクセスのたびにチェックする点にあります。このためには、ユーザーの役割からそのアクセスの意味を読み取る必要が出てきます。SaaSの導入までに時間的余裕がある企業の場合は、セキュリティの原則に従い、ルールの策定を『棚卸し』から実施すべきです。一方、すぐにでもSaaSを使いたいというような場合には、棚卸しに代わる方法でルールを策定していくといった工夫が必要です。例えば、SaaS上でまずは認証やアクセス制御を強化し、さらにユーザーの範囲を限定しつつ、実際にユーザーが何をどのように利用するのかについての情報収集を実地で行いながらルールを作り、それを精緻化していく、というような動的なルール策定アプローチを選択することができます」

「クラウド上にSaaSのアイデンティティとデータ・セキュリティの標準化基盤を作っておくことで、セキュリティの運用を分散させずに一元化できる上に、すべてのSaaSに対して同じセキュリティ機能の適用が可能になります。新たに採用するSaaSについては、このセキュリティ標準化基盤へ接続できることを条件にすれば、これまでセキュリティ評価に費やされていた膨大な時間の短縮にもつながります。デジタル化推進における盤石なセキュリティの第一歩として、IT部門やセキュリティ・リーダーは、すぐにでもこれらのSaaSセキュリティへの取り組みを開始すべきです」

 


Gartnerについて

Gartner, Inc. (NYSE: IT、S&P 500) は、世界有数のリサーチ&アドバイザリ企業である。ビジネス・リーダーが今日のミッション・クリティカルなビジネス課題の解決を実現し、将来にわたって成功する組織を築くために欠かせない知見、アドバイス、ツールを提供している。

Gartnerのリサーチは、エキスパート主導かつ、実務担当者からの情報に基づき、データを重視したもので、この比類なきサービスにより、お客様が重要な課題に対して正しい判断を下せるよう導く。業界や企業規模を問わず、ほとんどすべての職務領域にわたり、Gartnerは信頼されるアドバイザーならびに客観性を備えたリソースとして、国内のみならず世界100カ国以上、1万4,000社を超える企業に支持されている。


本レポートは、ガートナージャパン様のプレスリリースの内容を元に作成しております。
ソース:https://www.gartner.co.jp/ja/newsroom/press-releases/pr-20211001

関連記事

ピックアップ記事

  1. 「身内であっても全員疑え!」そんな手厳しい考え方が主流になろうとしています。 10年以上前に提唱さ…
  2. テレワーク(在宅勤務)はコロナ禍以前にも東京オリンピック2020の混雑緩和を目的に「テレワークデイズ…
  3. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  1. シリーズ【SSL可視化とセキュリティ】3)クラウドサービス活用時代における ネットワークセキュリティの必要性

  2. 「ゼロから学ぶ」セキュリティ知識#01:そもそも脆弱性って何?

  3. DX時代の情報システム部門をアップデートする『情シスサミット 2021 ONLINE』開催

  4. シリーズ【企業の情報漏洩の原因】#03 インターネットサービスの利用に伴う情報漏洩パターンと対策-is702

  5. Are you ready for DX? あなたは「DXの本質」を理解してますか?

  6. セキュリティ事故が発生した場合の被害額って想像できてますか!?~JNSAレポートより~

  7. 松田軽太の「一人情シスのすゝめ」#20:PDCAはKPTと合わせ技で行うと効果的!?

  8. 株式会社ビジネス・アーキテクツ「社内SE/ヘルプデスク/インフラエンジニア」ポジションのご紹介[PR]

  9. Microsoft 社 Internet Explorer のサポート終了(EOS)について-IPA

  10. DX時代の情シス基礎知識#01【IT戦略編】

プレスリリース

登録されているプレスリリースはございません。

関連サービス

IT-Manager AS

IT-Manager SD

情シス求人

  1. 第二創業期を基盤から支えます。大手クライアント中心。リモートワーク可/フレックス求人! 『サイ…
  2. Findyで1人目のコーポレートエンジニアを募集!会社と組織の基盤づくりをお任せします。 「テ…
  3. 圧倒的な成長、ITによる事業貢献を実現したいあなたへ。 皆さんもスポーツ用品やアウトドア用品で…
  4. あなたのやりたいことを、叶えてください! 今回は、千代田区岩本町に本社を構える株式会社クリアス…
  5. 帰宅後や休日の束の間、ゲームでストレス解消! なんて方も多いのではないでしょうか? 今…
ページ上部へ戻る