2023年に多くのサイバー攻撃がSaaSアプリケーションを介して行われたことから、SaaSのセキュリティは多くの企業の重要な懸念事項となっています。特に、GenAIアプリケーションもSaaSアプリケーションであることを考えると、その重要性はさらに高まっています。Wing Securityは、2023年第4四半期に493社のSaaSを使用する企業を分析し、SaaSの使用方法とそれによって生じる脅威の多様性を明らかにしました。この分析からは、SaaS関連のリスクの広がりと深さ、そしてそれらを軽減しセキュリティ姿勢を維持するための実用的なアドバイスが提供されています。
この研究は、SaaSが新たなサプライチェーンとしての役割を果たしていることを示し、企業がSaaSの使用を安全に保つためにはセキュリティ対策を講じる必要があることを強調しています。例えば、北朝鮮のグループUNC4899、0ktapusランサムウェアグループ、ロシアのMidnight Blizzard APTなどが、JumpCloud、MGMリゾーツ、Microsoftなどの有名組織を標的にしています。
SaaSのリスクとしては、シャドウSaaS、MFAのバイパス、トークンの忘却、そして新たなリスクとしてのシャドウAIが挙げられます。特に、AI機能を統合したSaaSアプリケーションの使用が増加しており、これらのアプリケーションが組織の機密データを使用してモデルを訓練することが問題となっています。
Wing Securityは、SaaSのセキュリティ課題に対処するための8つの方法を提案しており、それにはシャドウITの発見と管理、SaaSの誤設定の修正の優先順位付け、AIを使用するSaaSアプリケーションの発見と監視などが含まれます。これらの対策により、SaaSのサプライチェーンに対する脅威を軽減することができます。
【ニュース解説】
2023年には、多くのサイバー攻撃がSaaS(Software as a Service)アプリケーションを介して行われ、特にGenAI(一般人工知能)アプリケーションもSaaSの一形態であることから、企業のセキュリティ対策においてSaaSの安全性が重要な懸念事項となっています。Wing Securityによる493社のSaaS利用企業の分析から、SaaSの使用方法とそれに伴う多様な脅威が明らかにされ、SaaS関連のリスクの広がりと深さを理解し、セキュリティ姿勢を維持するための実用的なアドバイスが提供されました。
この研究は、SaaSが現代の組織にとって不可欠なツールおよびベンダーの一部であること、そしてそれが新たなサプライチェーンとしての役割を果たしていることを示しています。北朝鮮のグループUNC4899、0ktapusランサムウェアグループ、ロシアのMidnight Blizzard APTなどが、JumpCloud、MGMリゾーツ、Microsoftなどの有名組織を標的にした事例が挙げられています。
SaaSの主なリスクには、シャドウSaaS(組織が認識していないSaaSの使用)、MFA(多要素認証)のバイパス、使用後に忘れ去られるトークン、そしてAI機能を統合したSaaSアプリケーションの増加に伴うシャドウAIがあります。これらのアプリケーションが組織の機密データを使用してモデルを訓練することが、新たなリスクとして指摘されています。
Wing Securityは、シャドウITの発見と管理、SaaSの誤設定の修正の優先順位付け、AIを使用するSaaSアプリケーションの発見と監視など、SaaSのセキュリティ課題に対処するための8つの方法を提案しています。これらの対策を通じて、SaaSのサプライチェーンに対する脅威を軽減することが可能です。
この研究は、企業がSaaSを安全に利用するためには、ただ技術を導入するだけでなく、組織全体でのセキュリティ意識の向上と継続的な監視が必要であることを示しています。また、AI技術の統合により、SaaSのセキュリティ環境はさらに複雑化しており、これらの技術の利用に際しては、その利用条件やデータの取り扱いについて十分な検討が求められます。
from How Nation-State Actors Target Your Business: New Research Exposes Major SaaS Vulnerabilities.
