今回は、年々企業で増えている「SaaSアプリケーション」の利用により発生する新たなセキュリティリスクと、その対策して登場した新しいセキュリティアプローチについて解説していきます。
統計データから見るSaaSアプリケーションの利用増加
筆者が所属するパロアルトネットワークスでは、毎年、企業の実トラフィックデータを基に、アプリケーションの利用状況やサイバー攻撃の傾向をレポートとしてまとめています。2015年は日本を含めて全世界で7000社以上の企業のトラフィックの分析を行いました。
2015年のレポートで興味深かった点として、企業におけるSaaSアプリケーションの利用増加が挙げられます。2012年と比較すると2015年は、46%増の316種類ものSaaSアプリケーションが世界的に利用されていました。
日本企業に絞ってみると、特にDropbox、iCloud、Outlook.com、Gmailなどが多く利用されています。これらのSaaSアプリケーションは、元々は一般ユーザー向けに提供されていますが、業務の中でも欠かせない存在となっていることが分かります。一方で、これらを企業のIT部門の承諾を得ずに勝手に利用する“シャドーIT”という問題が年々広がりつつあり、企業のセキュリティの低下を招く可能性を秘めています。

統計データにみるSaaSアプリケーションの利用増加
企業のSaaSアプリケーションの利用とセキュリティリスク
SaaSアプリケーションはすぐに使える上に拡張性にも優れており、IT管理者にとっても膨大な運用コストをオフロード可能なため、現在のビジネスシーンではなくてはならない存在になりつつあります。また、その市場規模は驚異的な成長をみせています。
利便性がある一方、セキュリティ面ではデータ保存場所がクラウドに変わることにより、これまでの企業内システムにデータが保存されることを前提としたセキュリティポリシーでは対応が難しく、SaaSの用途に合わせた新しいセキュリティアプローチが求められます。
なかでもセキュリティレベルの異なる社内外とも簡単にデータやファイルのやり取りが可能となるSaaSアプリケーションは、逆にデメリットとして回り回って全く知らない人にファイルが渡るリスクを抱えています。また、ファイルを社外の人間が入手した場合、システム側で制御することは極めて難しいです。
最近のSaaSアプリケーションはファイルへのアクセス権限を細かく指定可能ですが、その高機能さゆえに設定の誤りによる情報漏えいのリスクが常に存在します。これは、以前であればIT管理者が社内インフラのアクセス権の設定をしていましたが、SaaSアプリケーションでは十分な知識のない一般ユーザー自身が高度な設定を行うようになったことに要因します。
また、前回でも取り上げた日本年金機構の情報漏えい事件でも、フィッシングメールに不審なリンクが付けられていたように、標的型攻撃の中でマルウェア配布先としてSaaSアプリケーションが利用されることがしばしばありますので注意が必要です。