SaaSアプリケーション利用によるセキュリティリスクの一覧
・マルウェアの拡散
- 標的型攻撃の中でマルウェアの配布サイトに使われる
- セキュリティ対策のあまい協力会社の人間によるマルウェア送受信(SaaSはどこからでもアクセス可能なため保護が不十分な端末も接続可能)
・故意のデータ漏えい
- 悪意のある社員がSaaSアプリケーションを介して意図的にデータを持ち出す
- マルウェアに感染した端末がSaaSアプリケーションを介してデータを運び出す
・不慮のデータ漏えい
- フォルダやファイルの公開対象の設定ミスにより外部からも閲覧可能な状態になる
- 元々のデータをアップロードした作成者から、複数メンバー間での共有を介することにより、当初意図していないメンバーまでアクセスされるようになる
図でみるSaaSアプリケーションによるセキュリティリスク
設定ミスによる情報漏えいは海外でこれまでに何件も報告されています。例えばオンラインストレージサービス上にアップロードされた重要なファイルを誤って公開設定してしまったことにより、50万件以上の顧客のクレジット番号が漏えいしてしまったり、SSH(セキュアシェル)のプライベートキーが誤って共有されてしまったりする事件が起こっています。
もちろん従業員へ、SaaSアプリケーションの正しい利用方法の教育を進めることで事故を減らすことは可能です。しかしながら、最終的にはシステム側での危険な状態のファイルの把握や悪意のあるユーザーにより引き起こされる行為へ対策を施す必要があります。
