ガートナージャパン(以下、Gartner)は、SaaSセキュリティへの取り組みにはアイデンティティ保護とデータ・セキュリティの見直しが重要であるとの見解を発表した同アナリストでディレクターの矢野薫氏は、「セキュリティが理由でSaaSの活用が進まないと、単にSaaSのメリットを享受できないだけでなく、企業全体のデジタル化の推進自体が減速することになります。これは企業にとっては大きな問題です。自社の競争力強化のためにデジタル化を加速させたいという場合はなおさらです。SaaS利用というクラウド活用のファースト・ステップで立ち止まっていたり、後れを取ったりしている場合ではありません」と述べている。SaaSアプリケーションに対するアクセスを制御し、機密データを保護することは、現在のセキュリティ脅威の下でビジネスの安全性を確保するために欠かせないという。また、昨今の厳格なプライバシー規制がもたらす課題は増しており、企業が継続的にビジネス成果を実現していくためにも、進化し続ける要件にタイムリーに対処する必要があるとしている。SaaSセキュリティの課題課題1:ルールがないこれまでのセキュリティは、オフィスやデータセンターなどの閉域網が中心だった。この場合、アイデンティティとデータの保護に対するルールを細かく設定しなくても、境界型のセキュリティ対策を強化することでセキュリティ全体のリスクを下げられたという。しかし、SaaSの活用により業務アプリケーションがこれまでの閉域網からクラウドへ移行したことで境界がなくなり、IT/セキュリティ・リーダーは、アイデンティティやデータの保護をSaaSごとに実装する必要に迫られている。課題2:設定とレベルがばらばらであるSaaSの場合は、それぞれのアプリケーションにおいて個別に認証、アクセス管理、データ保護を行う必要があり、実際にはセキュリティの分散化が進むことになるという。数多くのSaaSを利用するようになればなるほど運用は煩雑になり、また、SaaSによって実装できるセキュリティ機能に差があるため、セキュリティのレベルを一定に保つことが難しくなるとしている。課題3:SaaSの評価と採用に手間が掛かるSaaS採用の際にはチェックリストなどを用いて個別にセキュリティ機能を評価するが、最近はユーザー部門からのリクエストが多いこともあり、IT部門だけでは対応できなくなってきているという。そのため、IT部門に代わってユーザー部門にチェックを担当してもらうケースが出ているが、ITやセキュリティの専門用語が並ぶチェックリストに戸惑うユーザーも多くいるとしている。SaaSは「すぐに使える」ことがメリットであるにもかかわらず、このようなセキュリティ評価に時間を要することでSaaSの採用に時間がかかり、SaaSのメリットを生かせないといった状況が見られるようになってきましたという。SaaSセキュリティに関する上記3つの課題を踏まえた、矢野氏のコメントSaaSセキュリティには様々な対策がありますが、例外なく取り組む必要があるのがアイデンティティとデータの保護です。この際に重要なことは、これまでのように『本人であればアプリケーションの利用を許可する』といった粒度のルールを適用するのではなく、『このユーザーは本当にそのアクセスが必要なのか』をアクセスのたびにチェックする点にあります。このためには、ユーザーの役割からそのアクセスの意味を読み取る必要が出てきます。SaaSの導入までに時間的余裕がある企業の場合は、セキュリティの原則に従い、ルールの策定を『棚卸し』から実施すべきです。一方、すぐにでもSaaSを使いたいというような場合には、棚卸しに代わる方法でルールを策定していくといった工夫が必要です。たとえば、SaaS上でまずは認証やアクセス制御を強化し、さらにユーザーの範囲を限定しつつ、実際にユーザーが何をどのように利用するのかについての情報収集を実地で行いながらルールを作り、それを精緻化していく、というような動的なルール策定アプローチを選択することができます。クラウド上にSaaSのアイデンティティとデータ・セキュリティの標準化基盤を作っておくことで、セキュリティの運用を分散させずに一元化できる上に、すべてのSaaSに対して同じセキュリティ機能の適用が可能になります。新たに採用するSaaSについては、このセキュリティ標準化基盤へ接続できることを条件にすれば、これまでセキュリティ評価に費やされていた膨大な時間の短縮にもつながります。デジタル化推進における盤石なセキュリティの第一歩として、IT部門やセキュリティ・リーダーは、すぐにでもこれらのSaaSセキュリティへの取り組みを開始すべきです。https://enterprisezine.jp/news/detail/15034
ガートナー、SaaSセキュリティにおけるアイデンティティ保護とデータ・セキュリティの重要性を示す:EnterpriseZine編集部[小嶋秀治コジーの今週気になるDXニュースVOL20211002-01]
Home
ガートナー、SaaSセキュリティにおけるアイデンティティ保護とデータ・セキュリティの重要性を示す:EnterpriseZine編集部[小嶋秀治コジーの今週気になるDXニュースVOL20211002-01]
feel free to call us +81.80.20850923 stad-dx@cyber.ne.jp
Related Articles
-
経産省と総務省、DX時代の企業のプライバシーガバナンスガイドブック公開:IID, Inc.[小嶋秀治コジーの今週気になるDXニュースVOL20210721-01]
cybernet, , コンプライアンス, セキュリティー, 新着, 経済産業省, 総務省, DX時代における企業のプライバシーガバナンスガイドブックver1.1, ガバナンスガイドブック, プライバシーガバナンス, 経済産業省, 総務省, 0
経済産業省と総務省は、「DX時代における企業のプライバシーガバナンスガイドブックver1.1」を策定し公表した。「企業の
-
[コジーの今週気になるDXニュースVOL20231123-01]
cybernet, , IOT, セキュリティー, 新着, 経済産業省, 産業サイバーセキュリティ, 0
産業サイバーセキュリティ研究会「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」の最終報告書等を取りまとめました:経済産業省
サイバー攻撃が高度化する中、攻撃の全容の把握や被害の拡大を防止する等の観点から、被害組織を直接支援する専門組織を通じたサ
-
DX投資促進財政優遇措置をうけるには?|認定要件やその他2つの税制についても解説!:Ainow[小嶋秀治コジーの今週気になるDXニュースVOL20211123-01]
cybernet, , DX, 新着, DX投資促進財政優遇措置, 0
労働力不足が懸念される日本では、あらゆる産業分野でデジタルによる変革が重要視されています。そこで注目を集めているのが「D
-
デジタル庁、教育デジタル化の工程表発表 個人の生涯学習データを一元管理:ITmedia[コジーの今週気になるDXニュースVOL20220108-03]
cybernet, , 新着, 教育デジタル化の工程, 0
メール送信の工程責任エレベーション承認も理解しないご送信してる前に個人コード(マイナンバー?)の標準化は。住所コードの標
-
-
経済産業省は、DX(デジタル・トランスフォーメーション)に取り組む企業を認定する取組内容(申請書の公開)と、認定企業が使えるロゴマークを公開しました![小嶋秀治コジーの今週気になるDXニュースVOL20210406-02]
cybernet, , DX, 新着, 経済産業省, DX, DX認定企業ロゴマーク, デジタル・トランスフォーメーション, 取組内容, 申請書の公開, 経済産業省, 0
DX推進の準備が整っている(DX-Ready)企業を国が認定する「DX認定制度」において、認定を受けた事業者から提出され
-
ロンドンのアーリーステージを対象とするベンチャーキャピタルファンドが、クラウドファンディングを通じて調達できる金額を5倍に拡大、この動きは特にベンチャーキャピタルを民主化(初心者でもスタートアップに投資できるがリスクも大きい)する最近の他のイニシアチブに続いたという点で興味深い。[小嶋秀治コジーの今週気になるDXニュースVOL20210315-03]
cybernet, , スタートアップ・起業, 投資ファンド, 新着, 金融関連, アーリーステージ, ベンチャーキャピタルファンド, ロンドン, 0
ロンドンのアーリーステージを対象とするベンチャーキャピタルPassion Capitalは2021年3月第2週の初め、T
-
シンガポール拠点のブロックチェーンネットワークZilliqa、育成チーム15社向けに500万米ドルの年次ファンドを組成[小嶋秀治コジーの今週気になるDXニュースVOL20210321-02]
cybernet, , アクセラレータプログラム, スタートアップ・起業, ブロックチェーン, 投資ファンド, 新着, Zilliqa, シンガポール, ブロックチェーン, 投資ファンド, 0
シンガポールのブロックチェーン企業 Zilliqa は、戦略的な年次の投資ファンド組成を発表した。同社のプラットフォーム