Wing Security
Wing Security
SaaSセキュリティについて
シャドーSaaSとは
シャドーSaaS(野良SaaS)とは、組織のIT部門や管理者が把握していない、または正式に承認されていない
SaaSアプリケーションが、従業員や部門によって使用されることを指します。
シャドーSaaSはどのように生まれるのか?
- Box
- Zoom
- Kintone
- 採用一括かんりくん
etc…
- 従業員が個人的に業務で利用しているSaaS(NotionやChat GPT等 )
- 業務とは関係のないSaaS
OAuth認証によるログインの流れ
シャドーSaaSのリスク
01 データ漏洩のリスク
従業員が個人で利用しているSaaS に、企業の機密データを保存している可能性があります。
特に、そのSaaSがセキュリティ的に安全ではない場合、情報が漏洩する可能性が高まります。
02 アクセストークンの悪用
OAuth認証ではアクセストークンが発行され、
これを使用してSaaSがGoogle等のコアSaaS のリソースにアクセスします。
セキュリティが不十分なSaaSがアクセストークンを適切に保護しない場合、
第三者がこのトークンを不正に取得し、Google Workspace内のリソースにアクセスするリスクがあります。
03 過剰な権限付与によるリスク
OAuthを使用する際に、SaaSが必要以上の権限をリクエストしている場合があります。
例えば、SaaSが「Googleドライブへのフルアクセス」や「メールの読み取り権限」などを要求した場合、
それを許可することでGoogle Workspaceの全データがSaaS側に漏れるリスクが生じます。
これにより、過剰なデータアクセスや不正利用が発生する可能性があります。
SaaS管理の実態
SSPMニーズ調査に関するアンケート結果について(自社調べ)
質問①:御社では何種類くらいのSaaSアプリケーションを利用されておりますでしょうか。
38%もの企業が社内でSaaS を
どれくらい利用しているか分からないと回答
現実とのギャップ
米Oktaの調査によって、
1社当たりの平均SaaS利用数が2021年で89個、
大企業(従業員数2000人以上)で平均187個
を利用という実態が判明
SaaSの可視性の欠如
IT部門とセキュリティチームがSaaSの使用状況を把握できないことが、SaaSのセキュリティ対策における 最初の課題です。 ただ、従業員が利用しているSaaSを正確に把握することは困難であり、 知らないものを保護することはできません。
...
- ➢ SaaS利用状況の可視化がSaaSセキュリティ対策の第一歩
お問い合わせ
- Webからお問い合わせ
- お電話でお問い合わせ
- 03-3237-3291
-
お問い合わせは、お電話でも承っております。
資料請求・デモンストレーション等、お気軽にご相談下さい。
※受付時間 9時~17時30分 ※土曜・日曜・祝日、当社指定の休業日を除く