ブログ | TERILOGY

SaaSセキュリティのSCuBAフレームワークとは

作成者: M.U.|2025.03.18
  • BOD25-01と設定ミス管理
    BOD 25-01(Binding Operational Directive 25-01)は、米国土安全保障省(DHS)のサイバーセキュリティ・インフラストラクチャセキュリテ庁(CISA:Cybersecurity and Infrastructure Security Agency)からの指令であり、米国本土の連邦機関に対してSaaSセキュリティ設定を強化し監視することで、設定ミスによるリスクを軽減するよう求めています。この指令は、クラウド環境におけるセキュリティギャップの継続的な可視性、安全な構成、タイムリーな是正を義務付けています。政府機関や連邦機関にとって有効であれば、あなたの組織にとっても優れた基準となるでしょう。
    設定ミスはSSPM(SaaSセキュリティ姿勢管理)の重要な側面であり、組織の全体的なセキュリティ姿勢の重要な部分です。SaaSベンダーが自社のインフラストラクチャをセキュアにする一方で、組織はテナントの構成に責任を持ちます。過剰な権限やパスワードポリシー、不正アクセスなどの設定ミスは、攻撃対象領域を拡大し、横方向の移動を可能にし、企業をデータ侵害、コンプライアンス違反、および評判の損害にさらします。
  • SCuBAフレームワークについて
    Secure Cloud Business Applications(SCuBA)プログラムは、CISAによって作成され、クラウド環境を強化するためのセキュリティガイダンスを提供し、最も一般的な設定ミスやリスクに対処しています。
    「Microsoft 365(M365)とGoogle Workspace(GWS)のこれらのセキュリティ構成ベースラインは、各組織固有の要件とリスク許容レベルを補完する明確な推奨事項を提供し、またIT専門家がM365およびGWSサービスを迅速に評価するのを支援する自動化機能も含んでいます。」出典:https://www.cisa.gov/
    SCuBAフレームワークは、効果的なSaaSリスク管理を妨げるデータの作成、共有、保存の問題を防止するのに役立ちます。脅威の状況が進化するにつれて、このフレームワークはSaaSガバナンスを強化するためのタイムリーで実用的なガイダンスを提供し、組織がセキュリティ態勢を強化し、拡大するSaaS採用に関連するリスクを軽減するのを支援します。

  • SCuBAフレームワークの主な特長
    ・標準化されたセキュリティなので、既存のセキュリティプラクティスに準拠できる。
    ・ユーザーIDとアクセス制御といったIAMを強化。
    ・規制基準の準拠をサポート。
    ・積極的なリスクの特定と軽減を支援する。
    様々なクラウド環境と組織規模に適用できる。
    ・米政府承認のフレームワークなので、信頼性と信用性がある。
  • お使いのSaaS環境のセキュリティ体制を強固にしましょう
    当初は連邦民間行政機関向けに調整されていましたが、CISAは民間セクターに対してもSaaSの複雑さを軽減するモデルとしてSCuBAを採用することを奨励しています。
    元々Google WorkspaceとMicrosoft 365を保護するために開発されたSCuBAフレームワークをSSPMに適用するにあたり、WingはSCuBAフレームワークを活用しました。例えばOktaなどの追加のIDPに対する実行可能な構成チェックとして実装しました。

  • WingSecurityがSCuBAフレームワークに準拠している点
    Wingは、組織のSaaS環境内における人間と非人間の両方のSaaSアイデンティティを特定・管理する複雑さに取り組んでいます。SCuBAフレームワーク要件への継続的なコンプライアンスは、SaaSセキュリティリスクの迅速な是正を可能にする深いSaaS可視性によって確保されています。
    これをサポートするために、Wingは顧客の取り組みを支援するために活用できる4つの明確な成果を提供しています。

    1. 包括的なSaaSおよびシャドーITの発見
    WingのSSPMは、APIやメールメタデータ分析などの非侵入的な手法を通じて、シャドーITやアプリ間連携を含む組織の完全なSaaSエコシステム(人間および非人間のアイデンティティ、MFAステータス、ユーザの権限)を特定します。

    2. ノイズのない構成管理
    Wingの構成センターは重要な設定ミスを優先し、SCuBAに準拠したガイダンスを提供し、監査証跡によるコンプライアンスを簡素化し、セキュリティチームが安全なSaaS環境を維持するために構成のドリフトを追跡および防止するのを支援します。

    3. 自動化されたポリシー適用と修復ガイド
    Wing Securityは、SaaSスタック全体でポリシーを自動化および適用することで、ユーザーがリスクを修復できるようにし、手動の労力を最小限に抑え、SCuBAコンプライアンスの継続的な遵守を確保します。ユーザーの一時停止、OAuthトークンの取り消し、またはユーザーや部門全体にわたる一括アクションの適用など、問題を即座に修正する場合でも、Wingはセキュリティ管理を効率化します。

    4. コンプライアンスと監査への準備
    GDPR、CCPA、SOC、ISOなどの規制要件を満たすための設定ミスに対処します。設定ミスによりコンプライアンスのギャップが生じ、潜在的な罰則につながる可能性があります。Wingは組織がSaaSアプリケーションを正しく構成し、監査への準備を整えるのを支援します。

 
完全な記事を表示