SaaSの急増で危惧される、転職先への情報漏えい--ジョーシス - (page 2)

渡邉利和

2024-09-30 10:28

 SaaSの管理が追い付いていない現状がある中、企業側の採用意欲に関して同社が独自に実行した調査の結果からは、今後アプリケーションをSaaS中心にしていきたい意向が強いことが分かっている。この理由は主にコストで、導入、運用、保守など、あらゆる場面でSaaSのコストが低く、ほぼ全ての業務においてSaaSを活用するメリットがあると認識されている状況だ。

 SaaSの利用がますます増加する中で管理方法が課題となるが、調査では「従業員ごとに利用しているSaaSサービスを全て把握できているか」という問いに対し、「全て把握できている」との回答はわずか18.3%で、81.7%は把握できていない可能性を認めている状況だ。同様に、「退職者のSaaSサービスのアカウントを適切に削除できているか」という問いに対して「全て完璧に削除できている」との回答は25.7%で、74.3%は何らかの削除漏れが生じている可能性を認識している形だ。

 芹澤氏は、SaaSの管理について掘り下げ、「そもそもSaaSの管理とは何を指すのか」「管理対象となっているSaaSはどの範囲か」という点についても説明した。管理については、「アカウント管理(発行削除)」「権限管理」「認証連携」「設定管理/利用制御」「ライセンス管理/利用状況管理」などが考えられる。範囲については「会社標準SaaS(全社利用)」「会社認知SaaS(部門利用)」「未認知SaaS(シャドーIT)」の3種に分類し、そのマトリクスで「どのSaaSに対してどのような管理が行われているか」を整理することで状況が分かりやすくなるとした。

 このような整理によって浮かび上がる課題として同氏は、多くの場合管理を担当するIT部門が会社標準として全社で利用されているSaaSのみを管理対象と考えており、特定の業務のために現場の判断で導入されたSaaSなどは当該部署の管理を想定していることが珍しくない。

 なお、会社認知SaaSの場合は会社に利用申請などを行った上で利用開始されるが、個人や部署が会社に相談なしに独自判断で契約して使い始めてしまう、いわゆるシャドーITの場合はそもそもIT部門がそのSaaSを利用していることに気付いていない場合もあり、当然ながら管理についても不十分な体制となる。

 芹澤氏は「人手に頼らず、誰が何を使っているのかが分かるようにしないといけない。どのようなSaaSを使っていようが、どこかに行けばそれが全部分かる状態になっている。『唯一の真実』(Single Source of Truth)と言われるが、こういう状態を作らないといけない」と指摘し、ジョーシスはこれを実現するとした。

 退職した従業員のアカウント削除は、クラウド型ID管理サービス(IDaaS)などが提供するアイデンティティー管理でも実現できるとし、現場が勝手に導入したSaaSの発見はCloud Access Security Broker (CASB)などのツールで検出可能だが、同社の強みはどのようなSaaSが使われているのかを「人にひも付けて可視化する」点だという。

 同氏は「従業員が退職した際、多くの企業では『この人はどのSaaSを使っているのか』をそれぞれのSaaSごとに一つ一つ確認してアカウントを削除しなくてはならないため、抜け漏れが発生しやすい。一方、人にひも付けて自働化して見ることができれば、ある人がどのようなSaaSをどのような権限で利用しているかが分かる」と語った。

 さらに「可視化する場合には、当然『全件検知』『全量把握』でないと意味がない。全部見えないと意味がないということで、ジョーシスはそれを実現している」とした。

 SaaSに起因する情報漏えいは可能性の話ではなく実際に逮捕者が出ているリアルな問題だが、報道などでは「内部犯行」とされ、実際に何が行われたのかの詳細が明らかにならないこともある。このため、実際にはSaaSの管理やガバナンスの問題から生じている問題であってもそこに気付かれないことも少なくないようだ。SaaSには特有のリスクがあり、取るべき対策もあることを明確に意識し、確実に実行することが重要だろう。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    ChatGPTに関連する詐欺が大幅に増加、パロアルトの調査結果に見るマルウェアの現状

  2. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  3. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  4. セキュリティ

    いま製造業がランサムウェアに狙われている!その被害の実態と実施すべき対策について知る

  5. セキュリティ

    ランサムウェア攻撃に狙われる医療機関、今すぐ実践すべきセキュリティ対策とは?

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]