月別アーカイブ: 2025年10月

SaaS Security Capability Framework(SSCF)v1.0のご紹介:SaaSセキュリティのレベルを向上させる

コメントをどうぞ

本ブログは、CSA本部が公開している「Introducing the SaaS Security Capability Framework (SSCF) v1.0: Raising the Bar for SaaS Security」の日本語訳です。なお、本ブログと原書の内容に差異があった場合には、原書の内容が優先されます。

SaaS Security Capability FrameworkSSCFv1.0のご紹介:
SaaSセキュリティのレベルを向上させるフォームの始まり

CSA EMEA, AVP of GRC Solutions、Eleftherios Skoutaris

SaaSセキュリティの再考が必要な理由

SaaSはすべてを変えた。コラボレーションツールから重要なビジネスアプリケーションまで、SaaSは今や組織がテクノロジーを利用するデフォルトの方法となっている。しかし、この大規模な変化には大きな問題が伴う:セキュリティが追いついていないのだ

多くのサードパーティリスク管理(TPRM)プログラムは、サプライヤーの組織全体のセキュリティ(SOC 2レポートやISO認証など)に焦点を当てている。しかし、各SaaSアプリケーション内部の実際のセキュリティ機能は評価されておらず、企業がそれらの機能を活用するための指針も提供されていない。その結果、企業は書類上はコンプライアンスを満たしているように見える数百のアプリケーションを導入しながら、実際にはセキュリティ上のギャップを残したままになっている。

JPMorgan Chaseがサプライヤーに送った最近の公開書簡は、まさにこの問題を浮き彫りにした。同社は一貫性のないSaaSセキュリティコントロールを指摘し、業界の改善を強く求めた。明確な基準がなければ、企業、SaaSベンダー、セキュリティチームはそれぞれ独自にギャップを埋めようとし、重複した労力と不要なリスクを抱え続けることになる。

SSCF v1.0の登場

そこで登場したのが SaaS Security Capability Framework(SSCF)v1.0である。

このプロジェクトは、MongoDBとGuidePoint Securityのセキュリティリーダーが主導し、自ら開発作業を率いた。彼らと共に、Cloud Security Alliance(CSAが共同して主導し、その強みである業界関係者の結集、Cloud Controls Matrix(CCM v4といった標準構築の豊富な経験、構造化された研究ライフサイクルを通じた作業の指導を行った。CSAはSaaSプロバイダ、SaaS利用者、監査人、コンサルティング企業すべてが意見を反映できるようにし、フレームワークが現実のニーズを反映するものとした

その結果? SaaSベンダーがすぐに採用できる、利用者向けのセキュリティ機能フレームワークが実現した。これにより、SaaS利用者とベンダー双方におけるセキュリティレビューと実践の一貫性が確保され、潜在的なセキュリティリスクの低減に貢献する。

「SSCF v1.0は、SaaSセキュリティにおける長年の課題である一貫性のある実行可能な管理策の欠如に対処する。ベンダーと利用者の双方が実装可能な実用的な解決策に焦点を当てることで、このフレームワークは高レベルのコンプライアンスと現実のセキュリティニーズの間のギャップを埋める。GuidePoint Securityでは、Cloud Security Allianceや業界の仲間と協力し、関係者全員にとってSaaSセキュリティを簡素化するものを創り上げたことを誇りに思う」と、GuidePoint SecurityのSenior Cloud Practice Director、Jonathan Villaは述べている。

MongoDBのSenior Director, Security Engineering、Boris Sieklikは次のように付け加えている。「SSCFは、私たちのようなSaaS利用者がまさに求めていたものを提供する。明確で標準化された設定可能な管理策によって、SaaSアプリケーションの評価、採用、安全な運用が容易になる」。

SSCFが目指すのは以下の通りである:

  • TPRMチーム向け:ベンダーリスク評価をより迅速かつ簡素化する一貫した基準を提供。
  • SaaSベンダー向け:回答を単一かつ広く認知された標準に統一することで、繰り返される質問票や評価方法の差異による負担を軽減。
  • SaaSセキュリティエンジニア向け:SaaS導入と日常的なセキュリティ運用を強化するための実践的なチェックリストを提供。

v1.0の内容

SSCF v1.0は、CSAのCCM v4から採用した6つの主要セキュリティドメインにわたる管理策を定めている:

  • 変更管理と構成管理(CCC
  • データセキュリティとプライバシーライフサイクル管理(DSP
  • アイデンティティとアクセス管理(IAM
  • 相互運用性と移植容易性(IPY
  • ログ記録と監視(LOG
  • セキュリティインシデント管理、E-ディスカバリ、クラウドフォレンジック(SEF

これらのドメインは、SOC 2 や ISO 27001 などのフレームワークに取って代わるものではなく、それらの高レベルの要件を、利用者が実際に設定し、信頼できる具体的な SaaS セキュリティ機能に変換するものである。ログ配信、SSO実施、安全な設定ガイドライン、インシデント通知など、利用者が SaaS を日常的にセキュアに運用するために本当に必要なすべてのものを考えてみてください。

なぜこれが重要なのか

SSCFの核心は摩擦を減らすことにある。企業はSaaSポートフォリオ全体でより一貫したセキュリティ機能を得られ、多様性に富むSaaS環境全体で統一された実装基準を構築できる。ベンダーは求められるセキュリティ管理策を知り得る。そして、個別評価から共通基準への移行により、すべての関係者が時間を節約できる。

最も重要なのは、信頼の構築である。SaaSがミッションクリティカルな存在となった現代において、この信頼こそがセキュアな導入とリスクの高い盲点の分かれ目となる。

Valence SecurityのCo-Founder兼CTO、Shlomi Matichinは次のように述べている。「SSCFが広く採用される世界では、組織はセキュリティ運用コストを負担することなく、大規模かつセキュアにSaaSを利用できるようになる。SaaS導入とデータ移動を加速させる自律型AIの急速な普及に伴い、SSCFの重要性はさらに増大する」。

今後の展望

SSCF v1.0は始まりに過ぎない。プロジェクトの次フェーズは既に進行中で、フレームワークをさらに実践可能なものへと進化させることに焦点を当てている:

  • 組織が管理策を実践に移すための実装ガイドライン、および監査人がこれらの管理策を効果的に評価する方法の監査ガイドラインの確立。
  • それらの管理策が実際にどれほど効果的かを測定する評価および認証スキーム

これらを組み合わせることで、SaaSプロバイダと利用者はチェックリストを超え、真に測定可能なセキュリティ改善を実現できる。

CSAは、MongoDBGuidePoint SecurityGrip SecurityObsidian SecurityValence SecurityGitLabSiemensKaufman RossinAppOmniBand of Codersなど、多数の主要貢献者からなる広範なコミュニティと連携し、SSCF v1.0を実現できたことを誇りに思う。この最初のバージョンはより一貫性があり、よりセキュアで、より信頼できるSaaSエコシステムの基盤を築く。そして、この取り組みはここで終わりではない。最高の成果はまだこれからである。

以上