SaaS安全神話崩壊!? SaaS攻撃への備えが必要な理由

SaaSの安全神話

SaaS(Software as a Service)はここ10年で拡大が進み、2020年のCovid19によるリモートワークの推進と相まって、エンタープライズによる利用が爆発的に拡大した。

旧来のオンプレミスのシステムと比較し、導入期間も短くユーザにとってフレンドリーなSaaSは、バックグラウンドとして基本的にはクラウドネイティブであり、世界最高峰のセキュリティを誇るメガクラウド(GCP、AWS、Azure)が管理するマネージドサービスを利用することにより、技術的な安全性を確固たるものとしてきた。

SaaSを狙った攻撃の増加

SaaSをはじめ、クラウドサービスのセキュリティはAWSが提唱するような「責任共有モデル」と呼ばれるモデルによって担保されているといえる。これは、利用するシステムのセキュリティは、システムの提供側だけではなく利用側と協力しながら担保していこうということを表したモデルである。

「責任共有モデル (https://aws.amazon.com/jp/compliance/shared-responsibility-model/)より

SaaSの安全神話は、主にクラウドサービス側のテクノロジーが飛躍的に高度化することによって、あらゆる種類のサイバー攻撃がこれらのテクノロジーによって排除されてきているということを意味している。

ところが、2023年5月にAppOmniが発表したリリースによれば、SaaSを狙った攻撃はこれまでの対比で300%の増加を記録している。これらの理由は本記事中においてもいくつか紹介されているが、このような流れは今後避けられないであろう。実際に2023年6月にも、日本国内で大規模なランサムウェアによりサービスが停止したことは記憶に新しい。

826万人の在職者情報を管理する「社労夢」のランサムウェア事件から思うこと

SaaSへの攻撃が増える理由

SaaSへの攻撃が増える理由としては、上記のようなそもそもの悪事を働く犯罪グループの活動が活性化しているという外的要因もあるが、「責任共有モデル」における弱点の問題もあるように思われる。代表的な理由として考えられる大きな二つの理由を示したい。

①安全なクラウド基盤が利用されていない

見かけ上クラウドサービスのようにふるまっていても、いわゆるパブリッククラウドを利用しておらず、オンプレミスのサービスがインターネット経由でアクセス可能になるようなサービスが存在している。

このようなサービスは、「責任共有モデル」でいうところのよりハードウェアに近いレイヤまでをSaaSを提供する事業者側で管理する必要性がある場合があり、このような管理がずさんであればサーバ側の脆弱性やネットワークの脆弱性など、様々なアタックサーフェスに対する攻撃が想定される。

利用者にとってはアンコントローラブルに見えるこのような管理の問題を起点として、サイバー攻撃が発生してしまう要因を形成しているといえる。

②利用者側のセキュリティ対策が不十分である

「責任共有モデル」においては、利用者側も一定のセキュリティ対策を講じることが前提となっている。例えば、機密情報にアクセスできるSaaSのログインに必要なアカウント名とパスワードが第三者に漏れてしまっては、本人に容易になりすますことが可能となってしまう。

言い換えれば、SaaS側の設定が適切に行われないことにより、本来は安全なサービスであるはずのSaaSの安全性が脅かされている。

マルウェアに関する包括的な知識がとてもよくまとまっている良本

利用者として意識できることは

対策としては大きく、①適切なサービスを選定すること ②適切な設定を施すこと ③利用者のセキュリティリテラシーを向上させること の大きく3つに大別される。

①適切なサービスを選定・監督すること

いわゆる委託先管理の徹底である。利用サービスが適切な技術が利用され、安全を守るためのルールが整備・運用されていることを事前に確認することが重要である。特に、サービス提供会社の財務状況の変化などの環境要因により、当初は適切に講じられていた安全対策が緩くなることも想定されるため、選定したサービスが安全に運用されることを定期的に確認することも重要といえる。

②適切な設定を施すこと

ここでいう適切な設定とは、昨今の攻撃手法を考慮すれば、最低限として以下であるといえる。

  • 二要素認証を設定する
  • アクセス権を最低限にする
  • バックアップを定期的に取得する

IDまたはパスワードによる認証は必ずしも安全とは言えない。重要な情報を管理するサービスであれば、基本的にはすべてのサービスで2要素認証を有効にすることが推奨される。また、攻撃は低い権限からより高い権限を取得しようという動きが基本的であることから、最初から権限を最小限にしておくこともまた重要である。

さらに、仮に問題が生じた場合においても、業務継続が可能となるように適切にバックアップを取得することも望まれる。

③利用者のセキュリティリテラシーを向上させること

SaaSは利用しやすいがゆえに管理もずさんになりやすい。セキュリティの担保は利用者の意識と組織によって大きな影響を受けることから、利用者のリテラシーを定期的に向上させる教育を行うこともまた非常に重要な要素の一つといえる。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です