SSPMとは？
メリットや導入方法を知り自社のSaaSを強化しよう

「SSPMとはどんなサービスだろう」

そんな疑問を持つ方に当記事ではSSPMの機能やよく似たサービスとの違いを解説します。読み終える頃には自社がSSPMまたはCSPMのどちらを導入すべきか理解できるでしょう。自社のセキュリティ強化を実現するために、ご一読ください。

SSPMとは

SSPMはSaaSのセキュリティ強化に用いるサービスです。SSPMの解説や、よく似ている下記サービスとの違いを解説します。

SSPMの概要

SSPM（SaaS Security Posture Management）はSaaSのセキュリティ設定の確認、監視などができるサービスです。

SaaSを使っていない企業はない、といえるくらい爆発的にSaaSが普及しました。1社で複数のSaaSを使うことは珍しいことではなくなっています。しかし、複数のSaaSを利用するときなどに不安になるのがセキュリティです。

SaaSはサービスごとに設定できる内容が微妙に異なることが多いです。SaaSに設定できるセキュリティ設定の例として以下があります。

利用するSaaSが増えるほど、上記の管理が煩雑になります。管理が煩雑になれば、設定ミスやトラブル発生時に気が付きにくく対応が遅れる可能性が高いです。SSPMを用いることで、上記のセキュリティ監視や修正を効率化し、設定ミスの防止やセキュリティ対応の迅速化ができます。

CSPMとの違い

SSPMとCSPMの違いは監視対象となるサービス範囲です。

CSPM（Cloud Security Posture Management）はクラウドセキュリティ態勢管理を意味するクラウド環境向けのセキュリティサービスです。CSPMはIaaSやPaaSのセキュリティを監視、評価します。SSPMはSaaSに対応しているため、対応範囲が異なるサービスです。

SSPMとCSPMを両方利用することで、IaaS/PaaS/SaaSの各セキュリティ管理の効率化が可能です。どちらかのみで各環境のセキュリティ管理ができることが望ましいですが、IaaS/PaaSとSaaSでは設定項目が大きく異なり、一元化が難しいことから別々のサービスが用意されています。

CSPMについて別記事で解説しているので、あわせてご覧ください。

CASBとの違い

SSPMはSaaSのセキュリティ設定を監視する一方で、CASBはクラウドへのアクセス設定を管理するという違いがあります。

CASB（Cloud Access Security Broker）はIaaSやPaaSを含む、クラウドサービスへのアクセス権限を管理するソリューションです。従業員が各クラウドサービスに対し、どの権限を割り当てるのかを調整できます。例として以下のような管理です。

セキュリティ管理をする上でアクセス権限を最小化することは大切な対策です。CASBでアクセス権限を管理し、SSPMで監視することで、SaaSのセキュリティ強化が実現しやすくなります。

SSPMが重要視される理由

SSPMが重要視される理由として、以下があります。

SaaS利用の増加

SaaSの利用増加がSSPMの重要視につながっています。

当記事を読んでいる企業の担当者であれば、SaaSを使っている方が多いでしょう。星の数ほどのSaaSが存在しており、利用方法や設定内容はさまざまです。しかし、その分だけセキュリティリスクが高くなります。

各SaaSで独自のセキュリティ対策が用意されていますが、各サービスのセキュリティ内容の確認や検査をするだけでも、大きなコストが必要です。SaaSが増えるほど、セキュリティ対策すべき事項が増えます。

SaaS利用が増えた際に、効率的にセキュリティ対策をするためにSSPMが重要視されるようになりました。

ユーザーのセキュリティスキルや意識の欠如

ユーザーのセキュリティスキルや意識の欠如もSSPMの重要視につながっています。

SaaSは導入が比較的容易です。しかし、その利便さがユーザーの危機感やセキュリティへの意識を薄くしています。企業にセキュリティに精通している従業員がいなくても、導入できるからです。

しかし、セキュリティリスクを抑えるためには正しいセキュリティ設定やベストプラクティスの理解が必要になります。例としてアクセス権の最小化や、データ暗号化の強化などを実施すべきです。

情報漏えいや不正アクセスが発生してからでは遅いため、企業はセキュリティ対策が必要です。ユーザーのセキュリティスキルや意識の欠如をカバーするために、SaaSのセキュリティ対策としてSSPMの導入が重要視されています。

SaaS自体のセキュリティ対策が難しい

SaaS自体のセキュリティ対策が難しいこともSSPMが重要視される要因です。

SaaSはクラウドサービスのため、OSやハードウェアなどのレイヤーはサービス事業者がセキュリティ対策を管轄します。サービス事業者は提供する時点である程度のセキュリティ基準を満たしており、安心して利用できる状態です。しかし、サービス事業者の管轄外の対策は自社で対応する必要があります。

SaaSではデータの保護やアクセス権の設定は自社の管轄です。SaaS自体にセキュリティ機能が用意されていますが、確認が難しいという課題があります。例として、サービスAのファイル閲覧権限がある場合でも、ユーザーリストや設定内容は変更できてしまう、などどこまで設定が適用されるのかはSaaSごとに異なるためです。

SaaS自体のセキュリティ対策が難しく、管理が難しいことからSSPMが重要視されています。

SSPMの機能

SSPMの主な機能として以下があります。

SaaSのセキュリティ設定の確認

SSPMはSaaSのセキュリティ設定が適切かどうかを確認します。

SaaSのセキュリティは正しく設定しなければ、不正アクセスを許し、情報漏えいや改ざんのリスクが高いです。しかし、セキュリティ設定が適切かどうかは、確認が難しいことがあります。

SSPMを導入することで、セキュリティ基準に沿った評価が可能です。例として以下のセキュリティ基準を評価します。

SaaSに適切でない設定がされている場合は、どのように修正すべきなのか、提案も可能です。SSPMはSaaSのセキュリティ設定が適切かどうか確認することで、セキュリティ管理を効率化します。

SaaSのセキュリティの監視

SSPMはSaaSのセキュリティ監視が可能です。

SSPMがSaaSを監視し、ユーザーに不審な挙動がないか、明らかにアクセスが増えていないかなどの確認が可能です。これらを実現するために以下の機能が用意されています。

不審な挙動の例として、ユーザーが大量にファイルを外部に持ち出している場合や、権限付与をしていないユーザーによる頻繁なアクセスなどが挙げられます。アラート機能によって、管理者がすぐに気が付き対応できれば、被害の防止や最小化が可能です。

ログ出力をすることで、ユーザーが怪しい挙動をした際に「なぜそのようなことをしたのか」の分析や追跡（従業員であれば本人への確認）が可能です。怪しい芽を摘んでおくことが、内部不正の防止にもつながります。

SSPMによってSaaSの内部と外部、それぞれのセキュリティ監視が可能です。

コンプライアンスの準拠状況の確認

SSPMを用いることで、コンプライアンスの準拠状況の確認ができます。

各国でデータの保護や取り扱いについて法律が定められています。法律に準拠ができていなければ、業務の停止や罰則など厳しい処罰を受けることもあるので、準拠をして、機関に証明できなければなりません。

SSPMを用いることで、準拠状況の確認と、機関に証明するための書類発行が簡略化されます。準拠状況の確認のために、必要な項目のリストアップやグループ化が可能です。また書類発行により、作成のコストを低減できます。

SSPMの利用により、コンプライアンス準拠状況の確認と証明プロセスが効率化されます。

取得情報の可視化

SSPMは取得したセキュリティ設定の情報を可視化できます。

SSPMは複数のSaaSのセキュリティ設定や状況を確認可能です。このとき、各サービスをまとめて確認できると、設定確認のコストを大幅に削減できます。具体的には以下の機能で確認を効率化します。

SSPMによってセキュリティ設定情報を可視化することで、ログやコンフィグよりも分かりやすい画面で確認し、コスト削減が実現します。

SSPMを導入するメリット

SSPMを導入することによるメリットは以下のとおりです。

SaaSのセキュリティ強化

SSPMの導入によりSaaSのセキュリティ強化が可能です。

複数のSaaSを利用していても、まとめてセキュリティ強化ができます。具体的なセキュリティ強化の内容は以下のとおりです。

アクセス権限や暗号化の設定ミスは不正アクセスを許す要因になります。SSPMが設定内容を確認し、通知や修正提案をすることで早期の修正が可能です。

また不正アクセスや異常アクティビティを検出し、アラートを出します。迅速に不審なユーザーの隔離やアクセス権限の剥奪ができれば、被害の最小化が可能です。

SSPMを導入し、設定ミスや不正アクセスを早期に発見、修正することで、被害の防止や最小化が実現します。

コンプライアンスの準拠対応の効率化

SSPMの導入により、コンプライアンスの準拠対応が効率化されます。

SaaSでもデータを扱う場合には地域や業界の法律や規制に準拠しなければなりません。例としてGDPRや、HIPAAなどがあります。SSPMで、SaaSのセキュリティがこれらの基準を満たしているのか、確認が可能です。

各法律で満たすべき項目を表示した上で、現場のセキュリティ状況を確認できます。また準拠状況をレポート化し、提出書類を効率よく準備することも可能です。

SSPMの導入により、コンプライアンスに準拠しているかどうかを確認、証明しやすくなります。

リスクの可視化による担当者の負担減

SSPMの導入はリスクを可視化して、担当者の負担を軽減します。

セキュリティ設定の確認は担当者に大きな負担が伴う作業です。SSPMは可視化、修正の提案ができるため、担当者の負担を軽減します。

またSSPMは項目の可視化だけでなく、リスク対応の優先順位付けができます。危険度や頻度を踏まえ、リスクにスコアをつけて確認が可能です。担当者が優先度を判断する必要もなく、リスク順に対応すれば、大きな被害を防ぎやすくなります。

SSPMによるリスクの可視化と優先順位付けで、担当者の負担を大きく軽減可能です。

SSPM導入の流れ

SSPMの導入の流れは以下のとおりです。

1. 現場分析
2. SSPM製品の比較と選定
3. SSPM導入の計画策定
4. SSPM導入の実施
5. 継続的な効果測定と改善

現場分析

SSPMの導入を検討する場合、まずは現状分析を行いましょう。

現場分析は具体的には以下を指します。

これらを明確にし、各項目で重要度が高いものを決めておくと、後続のプロセスに対応しやすくなります。

SSPM製品の比較と選定

現場分析が完了したら、SSPM製品の比較、選定に進んでください。

SSPMは多くの製品がありますが、以下の観点で比較すべきです。

これらが全て、またはなるべく多く当てはまるSSPM製品を選択することで、導入メリットが大きくなります。全てが当てはまらない場合でも、自社にとって重要度が高いものを優先することが大切です。

SSPM導入の計画策定

SSPM製品の選定まで終えたら導入計画を策定しましょう。

導入計画は具体的に以下を決める必要があります。

これらを決めておくことで、導入をスムーズに進められます。特に導入スケジュールが重要です。スケジュールは運用開始までに余裕を持っておくと、直前でのバタつきが少なくなります。

SSPM導入の実施

SSPMの導入計画に沿って導入を実施します。

導入手順は以下のような流れです。

1. 各SaaSとの連携
2. セキュリティポリシーの設定
3. アラート設定
4. モニタリング設定

SSPMと各SaaSを連携して、SSPMからセキュリティ管理できる状態にしてください。このときに不明点や接続がうまくいかない場合は、問い合わせられる状況であることが望ましいです。製品サポートや、協力ベンダーと力を合わせて解決しましょう。

継続的な効果測定と改善

SSPMの導入後は継続的な効果測定や改善を行います。

SSPMは導入して完了ではありません。導入後も効果測定や改善を行うことで、継続的なセキュリティ強化が実現します。例として定期的に以下のような見直しを行いましょう。

これらを定期的に見直すことで、業務効率向上とSaaSセキュリティ強化の両立が実現します。

CSPMの導入はSCT SECURE CSPMサービスがおすすめ

SCT SECURE CSPMサービスは三和コムテックが提供するCSPMサービスです。

当記事ではSSPMを扱ってきました。しかし、SSPMのみでセキュリティ対策を万全にすることは難しいです。またIaaSやPaaSを利用している企業の場合、SSPMでは対応できません。

SCT SECURE CSPMサービスを利用することで以下が実現します。

また当サービスはAWS、Azure、 GCPのマルチクラウドに対応しています。IaaS、PaaSのセキュリティ対策をしたい企業は当サービスの導入をご検討ください。

まとめ

SSPMはSaaSのセキュリティ管理ができるソリューションです。CSPMはIaaS/PaaSのセキュリティ管理をしますが、SSPMは担当範囲が異なります。

SSPMの導入でSaaSのセキュリティ強化が実現しますが、IaaS/PaaSのセキュリティ強化を実現したい場合はCSPMを導入しましょう。その場合は、SCT SECURE CSPMサービスの導入をご検討ください。