タグ別アーカイブ: SSCF

SaaSセキュリティの設定問題と、SaaSセキュリティ能力フレームワーク(SSCF)の有効性

コメントをどうぞ

第2回SaaSセキュリティリーグ会議

「SaaSセキュリティリーグ」は、SaaSユーザー企業の実務者同士で情報交換を行う取り組みである。SaaS管理者やセキュリティ担当者を横串でつなぎ、知見交換を行うことで、セキュリティレベル向上に貢献していくことを目的としている。ここでは、「SaaSセキュリティリーグ」が行った第2回会議の内容をまとめて公開する。

2025年11月10日 18:30-20:00 開催

テーマ:SaaSセキュリティの設定問題と、SaaSセキュリティ能力フレームワーク(SSCF)の有効性

ディスカッション内容

  1. SaaS利用者が実際に手を動かさなければならないこと(アイデンティティとアクセス管理、インシデント対応、ログ管理、データ保護等)の現状。どこまでできている/できていない点、課題。
    • 全社的に設定管理するものに関してはIT部門が管理している。SaaSが提供しているセキュリティ機能についても確認できていて、それに基づいて管理している。一方、個別部門が設定管理を行っているものについては、SaaSのバリエーションの問題がありあまり管理できていない。また、小さいSaaSについては統一的な管理ができていない。
    • 最初に、SaaS側のセキュリティ機能(ログを取っているか、ID/アクセス管理など)の確認を行っている。それに基づいて、設定管理を行っている。
    • 利用の申請、また、どのように使っているか、SaaSサービスがどうなっているかを確認している。その上で、実装をどうするかを決めていく。利用者側の設定はバリエーションが出てしまう。難しいガイドラインを作っても部門が対応できない(知識がない)ケースもある。
    • SaaSはロングテールになる傾向がある。O365のような主要なSaaSは情シスが面倒を見ている。それに対して、ロングテールとなる小さいところは、仕様変更に対して追従できているかも不明なところがある。また、SaaSそのものがそもそもセキュリティ機能を満たしていないところも多い。したがって、SaaSのセキュリティ管理を一律に制限することはできない。
    • リスクの大きくないサービスに対してはあまり関わらないし、関わる時間もない。CASBの評価で一定の基準を満たしていれば設定はあまり気にしていない。

      まとめると、SaaS側が提供するセキュリティ機能のバリエーションの問題、部門のセキュリティ管理者へのSaaSセキュリティの徹底はなかなか難しい問題であることが分かる。

  2. SaaSプロバイダはどこまで支援してくれているか。あるいは、機能提供しているか?
    • SaaS利用前に、SaaSプロバイダにチェックリストに回答してもらう。セキュリティチェックシートを満たさないと契約できないようにしている。Webフィルタリング機能で、契約していないSaaSは使えないようにしている。
    • チェックシートに回答がもらえないSaaSがある。また、チェックシートだけでは管理しきれないSaaSもある。

      SaaSプロバイダが提供しているセキュリティ機能がなかなか把握できず、SaaS利用者にはチェックリスト等による対応が求められているのが分かる。

  3. 利用しているSaaSはセキュリティ機能を持っているが、利用者側で正しく設定できていないケースはあるのか?
    • SaaS利用担当者に、以下の項目を実施することを指示。これにより、設定問題をできるだけ回避するようにしている。
      • ユーザーアカウントの登録、変更、削除、パスワード初期化
      • 利用マニュアルの整備、利用方法の指導、利用者に対するヘルプデスク
      • クラウドサービスに設定するデータの定期的なバックアップ
      • インシデント発生時の連絡調整、迂回処理等の検討・実施
      • クラウドサービスでの処理量の増減に応じたサービス利用量の調整
    • 利用者側の設定については、基本的には、監査とかで対応している。
    • 当初は正しい設定をしていても、今までの設定では不十分になるケースがある。
    • 他社で事故が発生した場合に、自社の設定問題が表面化するケースもある。

      上記1,2の状況を受けて、SaaS利用者側のセキュリティ設定を徹底する方法として、定期的な監査で設定問題を回避するというのが、現状取られている方法と考えられる。

  4. SSCFの有効性について

    ここで、CSAが最近公開した「SaaSセキュリティ能力フレームワーク(SSCF)」について、実際にSaaSセキュリティを担当している管理者の意見を出していただいた。
    まず、SSCFであるが、SaaSプロバイダが利用者に提供するセキュリティ機能をまとめた管理策集である。すべてのSaaSプラットフォームで利用可能な標準化されたセキュリティ機能を確立することを目的としている。
    • SSCFの資料
      SSCFの解説として提供されている情報(日本語)を以下に示す。本ブログでは、SSCFの詳細は記述しないので、これらの資料を参照していただきたい。
    • SSCFで提供されている管理策の有効性についての意見
      • SaaSプロバイダが、SSCFに基づいて実装してくれると助かる。たとえば、SSOしてくれるだけでもうれしいし、ログがAPIで提供されるだけでも助かる。
      • SSCFにより、共通言語化されるだけでも良い。どの機能が揃っているというのが分かるし、同じ土俵で会話できるのはありがたい。
      • ベンダー向けのチェックリストの中で、聞かなくても良い項目が出てくるので楽になる可能性がある。
      • 自動化対応とかは日本のSaaSベンダーはあまりできていない。フレームワークとしてできるようになれば良い。SIEM連携とか、メリットがある。
      • SSCFを、どのように強制できるかが課題である。SSCFの名前がインパクトがない。もっとSaaSでは絶対必要だというような名前にすべきである。「能力フレームワーク」というのが分かりにくい。SSCFをもっと知らしめてほしい。

        総じてSSCFについて好意的な意見をいただいた。今まで、SSCFのようなまとまった形でSaaSセキュリティ機能を記述している資料がなかったため、これがSaaSセキュリティのバリエーションを生んでおり、設定および設定管理の難しさをもたらしていた。SaaSセキュリティ機能をプロバイダと利用者で標準化できれば、双方にとって有効であることが分かった。

  5. その他
    今回の議論の内容ではなかったが、他社が使っているSaaSを利用する場合、直接そのSaaSの管理ができない(たとえば、他社がBOXを使っていて、そのBOXを共有するケース)という問題が提起された。これは、SaaSに対してチェックリストを出すことができない。このような場合に、セキュリティ対応はどうしたらよいのかが課題となる。

  6. まとめ
    • SaaS利用者設定の課題について、全社的に設定管理するものに関してはIT部門が管理できている。一方、個別部門が設定管理を行っているものについては、SaaSのバリエーションの問題がありあまり管理できていない。
    • 利用者側の設定の状況については、基本的に、監査で対応している。
    • SaaSプロバイダが提供しているセキュリティ機能については、セキュリティチェックリストを送付し、SaaS利用前に回答してもらう方法が取られている。また、セキュリティチェックシートを満たさないと契約できないようにしている。ただし、チェックシートに回答がもらえないSaaSもあり、課題はある。
    • SSCFにより、SaaSのセキュリティ機能の標準化ができるようになると非常に有効である。しかしながら、どのように強制できるかが今後の課題となる。

以上

SaaS Security Capability Framework(SSCF)v1.0のご紹介:SaaSセキュリティのレベルを向上させる

コメントをどうぞ

本ブログは、CSA本部が公開している「Introducing the SaaS Security Capability Framework (SSCF) v1.0: Raising the Bar for SaaS Security」の日本語訳です。なお、本ブログと原書の内容に差異があった場合には、原書の内容が優先されます。

SaaS Security Capability FrameworkSSCFv1.0のご紹介:
SaaSセキュリティのレベルを向上させるフォームの始まり

CSA EMEA, AVP of GRC Solutions、Eleftherios Skoutaris

SaaSセキュリティの再考が必要な理由

SaaSはすべてを変えた。コラボレーションツールから重要なビジネスアプリケーションまで、SaaSは今や組織がテクノロジーを利用するデフォルトの方法となっている。しかし、この大規模な変化には大きな問題が伴う:セキュリティが追いついていないのだ

多くのサードパーティリスク管理(TPRM)プログラムは、サプライヤーの組織全体のセキュリティ(SOC 2レポートやISO認証など)に焦点を当てている。しかし、各SaaSアプリケーション内部の実際のセキュリティ機能は評価されておらず、企業がそれらの機能を活用するための指針も提供されていない。その結果、企業は書類上はコンプライアンスを満たしているように見える数百のアプリケーションを導入しながら、実際にはセキュリティ上のギャップを残したままになっている。

JPMorgan Chaseがサプライヤーに送った最近の公開書簡は、まさにこの問題を浮き彫りにした。同社は一貫性のないSaaSセキュリティコントロールを指摘し、業界の改善を強く求めた。明確な基準がなければ、企業、SaaSベンダー、セキュリティチームはそれぞれ独自にギャップを埋めようとし、重複した労力と不要なリスクを抱え続けることになる。

SSCF v1.0の登場

そこで登場したのが SaaS Security Capability Framework(SSCF)v1.0である。

このプロジェクトは、MongoDBとGuidePoint Securityのセキュリティリーダーが主導し、自ら開発作業を率いた。彼らと共に、Cloud Security Alliance(CSAが共同して主導し、その強みである業界関係者の結集、Cloud Controls Matrix(CCM v4といった標準構築の豊富な経験、構造化された研究ライフサイクルを通じた作業の指導を行った。CSAはSaaSプロバイダ、SaaS利用者、監査人、コンサルティング企業すべてが意見を反映できるようにし、フレームワークが現実のニーズを反映するものとした

その結果? SaaSベンダーがすぐに採用できる、利用者向けのセキュリティ機能フレームワークが実現した。これにより、SaaS利用者とベンダー双方におけるセキュリティレビューと実践の一貫性が確保され、潜在的なセキュリティリスクの低減に貢献する。

「SSCF v1.0は、SaaSセキュリティにおける長年の課題である一貫性のある実行可能な管理策の欠如に対処する。ベンダーと利用者の双方が実装可能な実用的な解決策に焦点を当てることで、このフレームワークは高レベルのコンプライアンスと現実のセキュリティニーズの間のギャップを埋める。GuidePoint Securityでは、Cloud Security Allianceや業界の仲間と協力し、関係者全員にとってSaaSセキュリティを簡素化するものを創り上げたことを誇りに思う」と、GuidePoint SecurityのSenior Cloud Practice Director、Jonathan Villaは述べている。

MongoDBのSenior Director, Security Engineering、Boris Sieklikは次のように付け加えている。「SSCFは、私たちのようなSaaS利用者がまさに求めていたものを提供する。明確で標準化された設定可能な管理策によって、SaaSアプリケーションの評価、採用、安全な運用が容易になる」。

SSCFが目指すのは以下の通りである:

  • TPRMチーム向け:ベンダーリスク評価をより迅速かつ簡素化する一貫した基準を提供。
  • SaaSベンダー向け:回答を単一かつ広く認知された標準に統一することで、繰り返される質問票や評価方法の差異による負担を軽減。
  • SaaSセキュリティエンジニア向け:SaaS導入と日常的なセキュリティ運用を強化するための実践的なチェックリストを提供。

v1.0の内容

SSCF v1.0は、CSAのCCM v4から採用した6つの主要セキュリティドメインにわたる管理策を定めている:

  • 変更管理と構成管理(CCC
  • データセキュリティとプライバシーライフサイクル管理(DSP
  • アイデンティティとアクセス管理(IAM
  • 相互運用性と移植容易性(IPY
  • ログ記録と監視(LOG
  • セキュリティインシデント管理、E-ディスカバリ、クラウドフォレンジック(SEF

これらのドメインは、SOC 2 や ISO 27001 などのフレームワークに取って代わるものではなく、それらの高レベルの要件を、利用者が実際に設定し、信頼できる具体的な SaaS セキュリティ機能に変換するものである。ログ配信、SSO実施、安全な設定ガイドライン、インシデント通知など、利用者が SaaS を日常的にセキュアに運用するために本当に必要なすべてのものを考えてみてください。

なぜこれが重要なのか

SSCFの核心は摩擦を減らすことにある。企業はSaaSポートフォリオ全体でより一貫したセキュリティ機能を得られ、多様性に富むSaaS環境全体で統一された実装基準を構築できる。ベンダーは求められるセキュリティ管理策を知り得る。そして、個別評価から共通基準への移行により、すべての関係者が時間を節約できる。

最も重要なのは、信頼の構築である。SaaSがミッションクリティカルな存在となった現代において、この信頼こそがセキュアな導入とリスクの高い盲点の分かれ目となる。

Valence SecurityのCo-Founder兼CTO、Shlomi Matichinは次のように述べている。「SSCFが広く採用される世界では、組織はセキュリティ運用コストを負担することなく、大規模かつセキュアにSaaSを利用できるようになる。SaaS導入とデータ移動を加速させる自律型AIの急速な普及に伴い、SSCFの重要性はさらに増大する」。

今後の展望

SSCF v1.0は始まりに過ぎない。プロジェクトの次フェーズは既に進行中で、フレームワークをさらに実践可能なものへと進化させることに焦点を当てている:

  • 組織が管理策を実践に移すための実装ガイドライン、および監査人がこれらの管理策を効果的に評価する方法の監査ガイドラインの確立。
  • それらの管理策が実際にどれほど効果的かを測定する評価および認証スキーム

これらを組み合わせることで、SaaSプロバイダと利用者はチェックリストを超え、真に測定可能なセキュリティ改善を実現できる。

CSAは、MongoDBGuidePoint SecurityGrip SecurityObsidian SecurityValence SecurityGitLabSiemensKaufman RossinAppOmniBand of Codersなど、多数の主要貢献者からなる広範なコミュニティと連携し、SSCF v1.0を実現できたことを誇りに思う。この最初のバージョンはより一貫性があり、よりセキュアで、より信頼できるSaaSエコシステムの基盤を築く。そして、この取り組みはここで終わりではない。最高の成果はまだこれからである。

以上