SaaSセキュリティとは？| Okta

トピック

データセキュリティ, Okta Secure Identity Commitment

SaaS開発者とビルダー、SaaSユーザー、エンタープライズセキュリティチーム、およびIdentity Providerはすべて、SaaS環境において一見するとばらばらの役割を担っているように見えるかもしれません。しかし、誰もがアイデンティティに焦点を当てることで、統一されたSaaSセキュリティ戦略をサポートできます。

独自のSaaSセキュリティ戦略を開始するための、シンプルで3つの要素からなるアプローチについてお読みください。

SaaSセキュリティとは？

Software as a service (SaaS)セキュリティとは、アカウント、データ、アクセスを保護することによって、クラウドおよびSaaSアプリケーションを保護するプラクティスです。職場環境で複数のSaaS製品を使用する場合でも、エンタープライズ顧客向けにそれらを構築する場合でも、これらのアプリとツールを安全に保つことは不可欠です。SaaSセキュリティは広義の用語ですが、一般的には職場環境で使用される製品を指します。

SaaSセキュリティが重要な理由

Best-of-breedのSaaS製品により、企業は従業員の生産性を向上させることができます。ただし、SaaSの状況は広範囲に広がり、相互接続され、急速に成長しています。これは、これらの異なるプラットフォーム全体での従業員のアクセスと使用状況を管理する任務を負うセキュリティおよびITチームにとって課題となります。

なぜアイデンティティセキュリティはSaaSセキュリティの中核をなすのでしょうか？

多くの一般的な攻撃経路は、野放しのSaaSアプリケーションを標的としており、アイデンティティベースの攻撃を利用しています。企業は、基本的なアイデンティティセキュリティ戦略によって、SaaS関連の攻撃からデータとユーザーを保護できます。さらに、これらのSaaS製品の構築者は、最新のアイデンティティソリューションと標準を実装することで、顧客にセキュリティの強化を提供できます。

企業向けのSaaSの課題

SaaSツールとクラウド環境の普及は、管理が困難になっています。分散化された状況は、悪意のある攻撃者にとって魅力的な標的です。このような課題は、一般的に、ユーザーライフサイクルとサイバー脅威の2つのカテゴリに分類されます。

考慮すべきユーザーライフサイクルのリスク

SaaSツールはどこからでもアクセスできるため、企業の内部ネットワークや従来のデバイスをはるかに超えて攻撃対象領域が拡大します。
SaaSツールは頻繁に追加または削除される可能性があり、ベンダーの管理または廃止には手作業が必要です。同様に、ユーザーアカウントは迅速なオンボーディングとオフボーディングが必要です。

ユーザーアカウントとサービスアカウントは多様であり、複数のアプリケーションに分散しているため、特定のツールへのアクセスは、規制遵守を徹底するために定期的にレビューおよび報告する必要があります。

考慮すべきサイバー脅威

過剰な権限を持つアカウントは、不当なリスクをもたらします。
認証情報は長期にわたって使用され、過剰にプロビジョニングされたり、共有されたりする可能性があります。
ベンダーツールと共有されるデータが適切に保護されない可能性があります。
フィッシング攻撃は現在SaaSツールを標的としているため、ユーザーセキュリティ教育とフィッシング耐性のあるログイン技術が重要です。

SaaSセキュリティのためのアイデンティティベースのソリューション

企業はSaaSアプリケーションの内部動作を制御できませんが、Identity Provider (IdP)などの自動化やパートナーを使用して、環境全体で一貫したプロセスとポリシーを適用できます。企業は、最新かつ安全なプロトコルを実装するソリューションを選択することもできます。IdPは、そのようなポリシーの最前線の執行者として機能できるため、企業は情報、リソース、および顧客を最も適切に保護するセキュリティポリシーを開発できます。

新しいSaaSセキュリティポリシーの実装は困難な場合があります。3つの方向からのアプローチでシンプルにすることをお勧めします。これらの重要な要素をすべて正しく理解すれば、より安全なSaaS環境に近づくことができます。

認証とプロビジョニングを標準化してセキュリティを確保する

すべてのSaaSアプリケーションでSSOとMFAを一貫して適用する
サインオンポリシーにデバイスの信頼を含め、Okta FastPassのようなフィッシング耐性のあるログイン方法を採用してください。
オンボーディング、オフボーディング、およびユーザープロファイル管理のための明確なポリシーを使用して、プロビジョニングを自動化します。
カスタマイズされたワークフローでアイデンティティ管理を自動化

最小特権を強制し、アクセスポリシーを強化します

認証情報を定期的にローテーションし、一時的な認証情報を使用してください。
異常なアクセスには追加認証を要求し、継続的なアクセス評価を活用します。
重大な脅威やエクスプロイトが検出された場合にアラートを設定します。
管理者アカウントまたはアンマネージドアカウントを制限および確認する
最小権限アクセスの原則を実装する

アプリケーションが相互にどのように連携するかを理解します。

他のツールとのデータ共有を必要なものに制限します。
従業員アカウントがSaaSサービスとデータを共有する方法を管理するための強制可能なポリシーを設定します
ネットワークセキュリティポリシーを既存のアクセスポリシーに組み込みます

SaaS製品を構築しますか？

B2B SaaS製品の構築者は、最初から最新のアイデンティティソリューションを組み込むことで、顧客のSaaSセキュリティ体制を迅速に開始できます。これには、最新の標準を遵守し、業界のベストプラクティスに従うことが含まれます。

作者について

Sofia Desenberg

Staff Software Engineer

Sofia is a Staff Software Engineer at Okta. With experience on security and data-focused teams spanning large companies and small startups — as well as past roles at Auth0 — she is passionate about Okta's mission to enable secure access to technology for everyone.

Meghna Dubey

Principal Engineer

Meghna Dubey is a Principal Engineer at Okta, focused on adding value to Okta Identity Orchestration and driving new integration capabilities. A seasoned engineer and leader, she has deep expertise in architecting, designing, and developing secure and scalable software solutions. She views technology exploration as essential to creating more secure and innovative products. Meghna firmly believes that any problem can be solved by breaking it down, starting with a simple approach, and refining it into a robust solution.

アイデンティティ施策を推進

今すぐ無料トライアルをご利用いただけます。個別のご要望については、お気軽にお問い合わせください。

Okta

Auth0

ニュースルーム

SaaSセキュリティのアンロック：アイデンティティがいかに役立つか