第２回SaaSセキュリティリーグ会議

「SaaSセキュリティリーグ」は、SaaSユーザー企業の実務者同士で情報交換を行う取り組みである。SaaS管理者やセキュリティ担当者を横串でつなぎ、知見交換を行うことで、セキュリティレベル向上に貢献していくことを目的としている。ここでは、「SaaSセキュリティリーグ」が行った第2回会議の内容をまとめて公開する。

2025年11月10日　18:30-20:00　開催

テーマ：SaaSセキュリティの設定問題と、SaaSセキュリティ能力フレームワーク(SSCF)の有効性

ディスカッション内容

1. SaaS利用者が実際に手を動かさなければならないこと（アイデンティティとアクセス管理、インシデント対応、ログ管理、データ保護等）の現状。どこまでできている/できていない点、課題。
   
   • 全社的に設定管理するものに関してはIT部門が管理している。SaaSが提供しているセキュリティ機能についても確認できていて、それに基づいて管理している。一方、個別部門が設定管理を行っているものについては、SaaSのバリエーションの問題がありあまり管理できていない。また、小さいSaaSについては統一的な管理ができていない。
   • 最初に、SaaS側のセキュリティ機能（ログを取っているか、ID/アクセス管理など）の確認を行っている。それに基づいて、設定管理を行っている。
   • 利用の申請、また、どのように使っているか、SaaSサービスがどうなっているかを確認している。その上で、実装をどうするかを決めていく。利用者側の設定はバリエーションが出てしまう。難しいガイドラインを作っても部門が対応できない（知識がない）ケースもある。
   • SaaSはロングテールになる傾向がある。O365のような主要なSaaSは情シスが面倒を見ている。それに対して、ロングテールとなる小さいところは、仕様変更に対して追従できているかも不明なところがある。また、SaaSそのものがそもそもセキュリティ機能を満たしていないところも多い。したがって、SaaSのセキュリティ管理を一律に制限することはできない。
   • リスクの大きくないサービスに対してはあまり関わらないし、関わる時間もない。CASBの評価で一定の基準を満たしていれば設定はあまり気にしていない。
     
     まとめると、SaaS側が提供するセキュリティ機能のバリエーションの問題、部門のセキュリティ管理者へのSaaSセキュリティの徹底はなかなか難しい問題であることが分かる。
     
     
2. SaaSプロバイダはどこまで支援してくれているか。あるいは、機能提供しているか？
   • SaaS利用前に、SaaSプロバイダにチェックリストに回答してもらう。セキュリティチェックシートを満たさないと契約できないようにしている。Webフィルタリング機能で、契約していないSaaSは使えないようにしている。
   • チェックシートに回答がもらえないSaaSがある。また、チェックシートだけでは管理しきれないSaaSもある。
     
     SaaSプロバイダが提供しているセキュリティ機能がなかなか把握できず、SaaS利用者にはチェックリスト等による対応が求められているのが分かる。
     
     
3. 利用しているSaaSはセキュリティ機能を持っているが、利用者側で正しく設定できていないケースはあるのか？
   • SaaS利用担当者に、以下の項目を実施することを指示。これにより、設定問題をできるだけ回避するようにしている。
     • ユーザーアカウントの登録、変更、削除、パスワード初期化
     • 利用マニュアルの整備、利用方法の指導、利用者に対するヘルプデスク
     • クラウドサービスに設定するデータの定期的なバックアップ
     • インシデント発生時の連絡調整、迂回処理等の検討・実施
     • クラウドサービスでの処理量の増減に応じたサービス利用量の調整
   • 利用者側の設定については、基本的には、監査とかで対応している。
   • 当初は正しい設定をしていても、今までの設定では不十分になるケースがある。
   • 他社で事故が発生した場合に、自社の設定問題が表面化するケースもある。
     
     上記1,2の状況を受けて、SaaS利用者側のセキュリティ設定を徹底する方法として、定期的な監査で設定問題を回避するというのが、現状取られている方法と考えられる。
     
     
4. SSCFの有効性について
   
   ここで、CSAが最近公開した「SaaSセキュリティ能力フレームワーク（SSCF）」について、実際にSaaSセキュリティを担当している管理者の意見を出していただいた。
   まず、SSCFであるが、SaaSプロバイダが利用者に提供するセキュリティ機能をまとめた管理策集である。すべてのSaaSプラットフォームで利用可能な標準化されたセキュリティ機能を確立することを目的としている。
   
   • SSCFの資料
     SSCFの解説として提供されている情報（日本語）を以下に示す。本ブログでは、SSCFの詳細は記述しないので、これらの資料を参照していただきたい。
     
     • 「SaaSセキュリティ能力フレームワーク（SSCF）」資料
     • SSCF管理策（EXCEL）
     • ブログ「SaaS Security Capability Framework（SSCF）v1.0のご紹介：SaaSセキュリティのレベルを向上させる」
     • WGセミナー「SSCF（SaaSセキュリティ能力フレームワーク）解説　～　SaaSに実装されるべきセキュリティ機能と設定能力」資料
       
   • SSCFで提供されている管理策の有効性についての意見
     • SaaSプロバイダが、SSCFに基づいて実装してくれると助かる。たとえば、SSOしてくれるだけでもうれしいし、ログがAPIで提供されるだけでも助かる。
     • SSCFにより、共通言語化されるだけでも良い。どの機能が揃っているというのが分かるし、同じ土俵で会話できるのはありがたい。
     • ベンダー向けのチェックリストの中で、聞かなくても良い項目が出てくるので楽になる可能性がある。
     • 自動化対応とかは日本のSaaSベンダーはあまりできていない。フレームワークとしてできるようになれば良い。SIEM連携とか、メリットがある。
     • SSCFを、どのように強制できるかが課題である。SSCFの名前がインパクトがない。もっとSaaSでは絶対必要だというような名前にすべきである。「能力フレームワーク」というのが分かりにくい。SSCFをもっと知らしめてほしい。
       
       総じてSSCFについて好意的な意見をいただいた。今まで、SSCFのようなまとまった形でSaaSセキュリティ機能を記述している資料がなかったため、これがSaaSセキュリティのバリエーションを生んでおり、設定および設定管理の難しさをもたらしていた。SaaSセキュリティ機能をプロバイダと利用者で標準化できれば、双方にとって有効であることが分かった。
       
       
5. その他
   今回の議論の内容ではなかったが、他社が使っているSaaSを利用する場合、直接そのSaaSの管理ができない（たとえば、他社がBOXを使っていて、そのBOXを共有するケース）という問題が提起された。これは、SaaSに対してチェックリストを出すことができない。このような場合に、セキュリティ対応はどうしたらよいのかが課題となる。
   
   
6. まとめ
   • SaaS利用者設定の課題について、全社的に設定管理するものに関してはIT部門が管理できている。一方、個別部門が設定管理を行っているものについては、SaaSのバリエーションの問題がありあまり管理できていない。
   • 利用者側の設定の状況については、基本的に、監査で対応している。
   • SaaSプロバイダが提供しているセキュリティ機能については、セキュリティチェックリストを送付し、SaaS利用前に回答してもらう方法が取られている。また、セキュリティチェックシートを満たさないと契約できないようにしている。ただし、チェックシートに回答がもらえないSaaSもあり、課題はある。
   • SSCFにより、SaaSのセキュリティ機能の標準化ができるようになると非常に有効である。しかしながら、どのように強制できるかが今後の課題となる。

以上