SaaSセキュリティについて
- Wing Security
- SaaSセキュリティ
シャドーSaaSとは

シャドーSaaS(野良SaaS)とは、組織のIT部門や管理者が把握していない、または正式に承認されていない
SaaSアプリケーションが、従業員や部門によって使用されることを指します。
シャドーSaaSはどのように生まれるのか?

- Box
- Zoom
- Kintone
- 採用一括かんりくん
etc…
- 従業員が個人的に業務で利用しているSaaS(NotionやChat GPT等 )
- 業務とは関係のないSaaS
OAuth認証による
ログインの流れ

シャドーSaaSのリスク
01 データ漏洩のリスク
- 従業員が個人で利用しているSaaS に、企業の機密データを保存している可能性があります。
特に、そのSaaSがセキュリティ的に安全ではない場合、情報が漏洩する可能性が高まります。
02 アクセストークンの悪用
- OAuth認証ではアクセストークンが発行され、
これを使用してSaaSがGoogle等のコアSaaS のリソースにアクセスします。
セキュリティが不十分なSaaSがアクセストークンを適切に保護しない場合、
第三者がこのトークンを不正に取得し、Google Workspace内のリソースにアクセスするリスクがあります。
03 過剰な権限付与によるリスク
- OAuthを使用する際に、SaaSが必要以上の権限をリクエストしている場合があります。
例えば、SaaSが「Googleドライブへのフルアクセス」や「メールの読み取り権限」などを要求した場合、
それを許可することでGoogle Workspaceの全データがSaaS側に漏れるリスクが生じます。
これにより、過剰なデータアクセスや不正利用が発生する可能性があります。

SaaS管理の実態
SSPMニーズ調査に関するアンケート結果について(自社調べ)
質問①:御社では何種類くらいのSaaSアプリケーションを利用されておりますでしょうか。

38%もの企業が社内でSaaS を
どれくらい利用しているか分からないと回答
現実とのギャップ


米Oktaの調査によって、
1社当たりの平均SaaS利用数が2021年で89個、
大企業(従業員数2000人以上)で平均187個
を利用という実態が判明
1社当たりの平均SaaS利用数が2021年で89個、
大企業(従業員数2000人以上)で平均187個
を利用という実態が判明
SaaSの可視性の欠如
IT部門とセキュリティチームがSaaSの使用状況を把握できないことが、SaaSのセキュリティ対策における最初の課題です。
ただ、従業員が利用しているSaaSを正確に把握することは困難であり、知らないものを保護することはできません。
. . .
- ➢ SaaS利用状況の可視化がSaaSセキュリティ対策の第一歩