SaaS安全神話崩壊!? SaaS攻撃への備えが必要な理由

SaaSの安全神話
SaaSを狙った攻撃の増加
SaaSへの攻撃が増える理由
- ①安全なクラウド基盤が利用されていない
- ②利用者側のセキュリティ対策が不十分である
利用者として意識できることは

SaaSの安全神話

SaaS(Software as a Service)はここ10年で拡大が進み、2020年のCovid19によるリモートワークの推進と相まって、エンタープライズによる利用が爆発的に拡大した。

旧来のオンプレミスのシステムと比較し、導入期間も短くユーザにとってフレンドリーなSaaSは、バックグラウンドとして基本的にはクラウドネイティブであり、世界最高峰のセキュリティを誇るメガクラウド（GCP、AWS、Azure）が管理するマネージドサービスを利用することにより、技術的な安全性を確固たるものとしてきた。

SaaSを狙った攻撃の増加

SaaSをはじめ、クラウドサービスのセキュリティはAWSが提唱するような「責任共有モデル」と呼ばれるモデルによって担保されているといえる。これは、利用するシステムのセキュリティは、システムの提供側だけではなく利用側と協力しながら担保していこうということを表したモデルである。

「責任共有モデル　(https://aws.amazon.com/jp/compliance/shared-responsibility-model/)より

SaaSの安全神話は、主にクラウドサービス側のテクノロジーが飛躍的に高度化することによって、あらゆる種類のサイバー攻撃がこれらのテクノロジーによって排除されてきているということを意味している。

ところが、2023年5月にAppOmniが発表したリリースによれば、SaaSを狙った攻撃はこれまでの対比で300%の増加を記録している。これらの理由は本記事中においてもいくつか紹介されているが、このような流れは今後避けられないであろう。実際に2023年6月にも、日本国内で大規模なランサムウェアによりサービスが停止したことは記憶に新しい。

2023年7月11日 826万人の在職者情報を管理する「社労夢」のランサムウェア事件から思うこと

SaaSへの攻撃が増える理由

SaaSへの攻撃が増える理由としては、上記のようなそもそもの悪事を働く犯罪グループの活動が活性化しているという外的要因もあるが、「責任共有モデル」における弱点の問題もあるように思われる。代表的な理由として考えられる大きな二つの理由を示したい。

①安全なクラウド基盤が利用されていない

見かけ上クラウドサービスのようにふるまっていても、いわゆるパブリッククラウドを利用しておらず、オンプレミスのサービスがインターネット経由でアクセス可能になるようなサービスが存在している。

このようなサービスは、「責任共有モデル」でいうところのよりハードウェアに近いレイヤまでをSaaSを提供する事業者側で管理する必要性がある場合があり、このような管理がずさんであればサーバ側の脆弱性やネットワークの脆弱性など、様々なアタックサーフェスに対する攻撃が想定される。

利用者にとってはアンコントローラブルに見えるこのような管理の問題を起点として、サイバー攻撃が発生してしまう要因を形成しているといえる。

②利用者側のセキュリティ対策が不十分である

「責任共有モデル」においては、利用者側も一定のセキュリティ対策を講じることが前提となっている。例えば、機密情報にアクセスできるSaaSのログインに必要なアカウント名とパスワードが第三者に漏れてしまっては、本人に容易になりすますことが可能となってしまう。

言い換えれば、SaaS側の設定が適切に行われないことにより、本来は安全なサービスであるはずのSaaSの安全性が脅かされている。

マルウエアの教科書 [ 吉川孝志 ]

created by Rinker

マルウェアに関する包括的な知識がとてもよくまとまっている良本

利用者として意識できることは

対策としては大きく、①適切なサービスを選定すること　②適切な設定を施すこと　③利用者のセキュリティリテラシーを向上させること　の大きく3つに大別される。

①適切なサービスを選定・監督すること

いわゆる委託先管理の徹底である。利用サービスが適切な技術が利用され、安全を守るためのルールが整備・運用されていることを事前に確認することが重要である。特に、サービス提供会社の財務状況の変化などの環境要因により、当初は適切に講じられていた安全対策が緩くなることも想定されるため、選定したサービスが安全に運用されることを定期的に確認することも重要といえる。