SaaSセキュリティについて

シャドーSaaSとは

シャドーSaaS（野良SaaS）とは、組織のIT部門や管理者が把握していない、または正式に承認されていない
SaaSアプリケーションが、従業員や部門によって使用されることを指します。

OAuth認証による
ログインの流れ

01 データ漏洩のリスク

従業員が個人で利用しているSaaS に、企業の機密データを保存している可能性があります。
特に、そのSaaSがセキュリティ的に安全ではない場合、情報が漏洩する可能性が高まります。

02 アクセストークンの悪用

OAuth認証ではアクセストークンが発行され、
これを使用してSaaSがGoogle等のコアSaaS のリソースにアクセスします。
セキュリティが不十分なSaaSがアクセストークンを適切に保護しない場合、
第三者がこのトークンを不正に取得し、Google Workspace内のリソースにアクセスするリスクがあります。

03 過剰な権限付与によるリスク

OAuthを使用する際に、SaaSが必要以上の権限をリクエストしている場合があります。
例えば、SaaSが「Googleドライブへのフルアクセス」や「メールの読み取り権限」などを要求した場合、
それを許可することでGoogle Workspaceの全データがSaaS側に漏れるリスクが生じます。
これにより、過剰なデータアクセスや不正利用が発生する可能性があります。

38%もの企業が社内でSaaS を
どれくらい利用しているか分からないと回答

米Oktaの調査によって、
1社当たりの平均SaaS利用数が2021年で89個、
大企業（従業員数2000人以上）で平均187個
を利用という実態が判明

SaaSの可視性の欠如

IT部門とセキュリティチームがSaaSの使用状況を把握できないことが、SaaSのセキュリティ対策における最初の課題です。
ただ、従業員が利用しているSaaSを正確に把握することは困難であり、知らないものを保護することはできません。

. . .