SaaSの設定ミスがセキュリティインシデントの63%に関与している? (Cloud Security Alliance )
こんにちは、丸山満彦です。
Cloud Security AllianceがSaaSの設定に関する調査報告書を公開していますね。。。
SaaSの設定ミスがセキュリティインシデントの63%に関与しているかもしれないということのようです。。。
SaaSの設定ミスの主な原因は、
- SaaSのセキュリティ設定の変更を可視化できないこと(34%)、
- SaaSのセキュリティ設定にアクセスできる部門が多すぎること(35%)
であるとしていますね。。。
細かい数字はともかく、SaaSのアクセス関連の設定についてはユーザが定期的に確認することが重要ですね(報告書の中で、どのくらいの頻度でSaaSのセキュリティチェックをしているかの調査結果もあります)。。。
SaaS事業者も設定についてのリスクについて、わかりやすく説明することが重要でしょうし、デフォルトの設定についても安全サイドに寄せるとかしたほうが良いかもですね。。。(利便性を犠牲にしたくないという思いはあるのでしょうが、両立できるような製品にしていくことが重要なんでしょうね。。。)。
● Cloud Security Alliance (CSA)
| New Cloud Security Alliance Survey Finds SaaS Misconfigurations May Be Responsible for Up to 63 Percent of Security Incidents | クラウドセキュリティアライアンスの新しい調査により、SaaSの設定ミスがセキュリティインシデントの最大63%に関与している可能性が判明 |
| Proper visibility into SaaS security application settings and automated tools can mitigate risk | SaaSセキュリティアプリケーションの設定と自動化ツールを適切に可視化することで、リスクを軽減することができる |
| SEATTLE – April 12, 2022 – The Cloud Security Alliance (CSA), the world’s leading organization dedicated to defining standards, certifications, and best practices to help ensure a secure cloud computing environment, today released the findings of its latest survey, 2022 SaaS Security Survey Report. Commissioned by Adaptive Shield, a leading SaaS Security Posture Management (SSPM) company, the survey offers insight into the industry’s knowledge, attitudes, and opinions regarding SaaS security and related misconfigurations. | シアトル - 2022年4月12日 - クラウドコンピューティング環境の安全性を確保するための標準、認証、ベストプラクティスの定義に取り組む世界有数の組織であるクラウドセキュリティアライアンス(CSA)は、最新の調査結果「2022 SaaS Security Survey Report」を本日発表しました。SaaSセキュリティポスチャ管理(SSPM)のリーディングカンパニーであるアダプティブシールドの委託により、本調査では、SaaSセキュリティおよび関連する設定ミスに関する業界の知識、態度、意見についての知見を提供しています。 |
| “Many recent breaches and data leaks have been tied back to misconfigurations. Whereas most research related to misconfigurations has focused strictly on the IaaS layers and entirely ignores the SaaS stack, SaaS security and misconfigurations are equally, if not more, important when it comes to an organization's overall security. We wanted to gain a deeper understanding of the use of SaaS applications, how security assessments are conducted and the overall awareness of tools that can be used to secure SaaS applications," said Hillary Baron, lead author and research analyst, Cloud Security Alliance. | Cloud Security Allianceの筆頭著者でリサーチアナリストのヒアリー・バロンは以下のように述べています。「最近の情報漏えい事件の多くは、設定ミスに起因しています。しかし、SaaS のセキュリティと設定ミスは、組織の全体的なセキュリティに関して、同等かそれ以上の重要性を持っています。私たちは、SaaSアプリケーションの使用状況、セキュリティ評価の実施方法、SaaSアプリケーションのセキュリティ確保に使用できるツールの全体的な認識について深く理解したいと考えました。」 |
| “This survey shines a light on what CISOs and cybersecurity managers are looking for and need when it comes to securing their SaaS stack — from visibility, continuous monitoring and remediation to other ever-growing, critical use cases such as 3rd party application control and device posture monitoring,” asserts Maor Bin, CEO and co-founder of Adaptive Shield. “The SSPM market is maturing rapidly — and this type of zero-trust approach for SaaS is where the SSPM market is going.” | 「この調査は、SaaSスタックのセキュリティ確保に関して、CISOやサイバーセキュリティ管理者が何を求め、何を必要としているかを明らかにするもので、可視化、継続的モニタリング、修正から、サードパーティアプリケーションコントロールやデバイス姿勢モニタリングといった成長し続ける重要なユースケースまで、幅広くカバーしています。SSPM市場は急速に成熟しており、このようなSaaS向けのゼロトラストアプローチがSSPM市場の行く末を決めるのです。」 |
| Among the survey’s key findings: | この調査の主な調査結果には、次のようなものがあります。 |
| ・SaaS misconfigurations are leading to security incidents. At least 43 percent of organizations report that they have dealt with one or more security incidents because of a SaaS misconfiguration. | ・SaaSの設定ミスがセキュリティインシデントにつながっている。少なくとも43%の組織が、SaaSの設定ミスが原因で1つ以上のセキュリティインシデントに対処したことがあると報告しています。 |
| ・The leading causes of SaaS misconfigurations are lack of visibility into changes into the SaaS security settings (34%) and too many departments with access to SaaS security settings (35%). | ・SaaSの設定ミスの主な原因は、SaaSのセキュリティ設定の変更を可視化できないこと(34%)と、SaaSのセキュリティ設定にアクセスできる部門が多すぎること(35%)である。 |
| ・Investment in business-critical SaaS applications is outpacing SaaS security tools and staff. Over the past year, 81 percent of organizations have increased their investment in business-critical SaaS applications, but fewer organizations reported increasing their investment in security tools (73%) and staff (55%) for SaaS security. | ・ビジネスクリティカルなSaaSアプリケーションへの投資は、SaaSセキュリティツールやスタッフを上回っている。過去1年間で、81%の組織がビジネスに不可欠なSaaSアプリケーションへの投資を増やしましたが、SaaSセキュリティのためのセキュリティツール(73%)とスタッフ(55%)への投資を増やしたと回答した組織は少なかったです。 |
| ・Manually detecting and remediating SaaS misconfigurations is leaving organizations exposed. Nearly half (46%) can only check monthly or less frequently, and another 5 percent don’t check at all, meaning that misconfigurations could go undetected for a month or longer. | ・SaaSの設定ミスを手作業で検出し、修正することは、組織を無防備な状態にしている。半数近く(46%)は毎月またはそれ以下の頻度でしかチェックできず、さらに5%はまったくチェックしていないため、設定ミスが1カ月以上検出されない可能性があります。 |
| ・The use of an SSPM reduces the timeline to detect and remediate SaaS misconfigurations. Organizations that use an SSPM can detect and remediate their SaaS misconfigurations significantly quicker — 78 percent checked their SaaS security configurations weekly or more, compared to those not utilizing an SSPM, where only 45 percent were able to check at least weekly. | ・SSPM を使用すると、SaaS の設定ミスを検出して修正するまでの時間が短縮されます。SSPMを使用している組織では、SaaSのセキュリティ設定を毎週またはそれ以上チェックしており、SSPMを使用していない組織では、少なくとも毎週チェックできているのは45パーセントに過ぎなかったのに対し、SSPMを使用している組織では、大幅に早くSaaSの設定ミスを検出し修正することができました。 |
・2022.04.11 SaaS Security and Misconfigurations Report
| SaaS Security and Misconfigurations Report | SaaSのセキュリティと設定ミスに関するレポート |
| Many recent breaches and data leaks have been tied back to misconfigurations causing it to be a top concern for many organizations. Most research related to misconfigurations has focused strictly on the IaaS layers and ignores the SaaS stack entirely. Yet, SaaS security and misconfigurations are equally crucial to the organization's overall security. For these reasons, CSA developed and distributed a survey to better understand the use of SaaS applications, timeline and tools for SaaS security assessments, a timeframe for misconfiguration detection and remediation, and awareness of security tools for SaaS applications. | 最近の情報漏えいの多くは、設定ミスに起因しており、多くの企業にとって最大の関心事となっています。設定ミスに関連する研究のほとんどは、IaaS レイヤーにのみ焦点を当て、SaaS スタックは完全に無視されています。しかし、SaaS のセキュリティとミスコンフィギュレーションは、組織の全体的なセキュリティにとって同様に重要です。このような理由から、CSA は、SaaS アプリケーションの使用状況、SaaS セキュリティ評価のタイムラインとツール、設定ミスの検出と修正のタイムフレーム、SaaS アプリケーション用セキュリティツールの認識について理解を深めるためのアンケートを作成し、配布しました。 |
| The goal of this survey was to understand the current state of SaaS security and misconfigurations. Key areas of interest include: | 本調査の目的は、SaaSのセキュリティと設定ミスの現状を把握することである。主な関心分野は以下の通りです。 |
| ・Use of SaaS applications with organizations | ・組織でのSaaSアプリケーションの利用状況 |
| ・Methods, policies, and tools for assessing SaaS app security | ・SaaSアプリのセキュリティを評価するための方法、ポリシー、ツール |
| ・Timeline for detecting and remediating misconfigurations in SaaS app security | ・SaaSアプリのセキュリティにおける設定ミスの検出と修正のためのタイムライン |
| ・Awareness of new SaaS security related products | ・SaaSセキュリティ関連新製品の認知度 |
・[PDF] 簡単な質問に答えるとダウンロードできます
目次...
| Acknowledgements | 謝辞 |
| Survey Creation and Methodology | 調査の作成と方法 |
| Goals of the study | 調査の目標 |
| Executive Summary | エグゼクティブサマリー |
| ・Key Finding 1: SaaS misconfigurations are leading to security incidents | ・重要な発見1:SaaSの設定ミスがセキュリティインシデントにつながっている。 |
| ・Key Finding 2: The leading causes of SaaS misconfigurations are lack of visibility and too many departments with access | ・重要な発見2:SaaSの設定ミスの主な原因は、可視化されていないこととアクセスできる部署が多すぎること。 |
| ・Key Finding 3: Investment in business-critical SaaS applications outpacing SaaS security tools and staff. | ・重要な発見3:ビジネスクリティカルなSaaSアプリケーションへの投資が、SaaSセキュリティツールやスタッフよりも上回っている。 |
| ・Key Finding 4: Manually detecting and remediating SaaS misconfigurations is leaving organizations exposed | ・重要な発見4:SaaSの誤設定を手動で検出し、修正することは、組織を無防備な状態にする。 |
| ・Key Finding 5: The use of an SSPM reduces the timeline to detect and remediate SaaS misconfigurations | ・重要な発見5:SSPMの使用により、SaaSの設定ミスを検出し修正するまでの時間が短縮される。 |
| SaaS Application Use in Organizations | 企業におけるSaaSアプリケーションの活用 |
| SaaS Security Assessment | SaaSのセキュリティアセスメント |
| Misconfigurations in SaaS Security | SaaSセキュリティの設定ミス |
| SaaS Security Tools | SaaSセキュリティツール |
| Conclusion | まとめ |
| Demographics | デモグラフィック |
| About the Sponsor | スポンサーについて |
● まるちゃんの情報セキュリティ気まぐれ日記
・2022.01.07 JASA 監査人の警鐘 – 2022年 情報セキュリティ十大トレンド
・2021.12.24 JNSA 2021セキュリティ十大ニュース
・2021.10.11 JIPDEC 2020年度「個人情報の取扱いにおける事故報告集計結果」について
・2021.06.18 Cloud Security Alliance 「Salesforce向けクリティカルコントロールの実装」を公表
・2021.02.01 NISC による重要インフラ事業者等に向けた注意喚起「Salesforceの製品の設定不備による意図しない情報が外部から参照される可能性について」
・2020.12.28 クラウドを利用する際の設定ミスにより第三者に迷惑をかける場合
・2020.08.20 SaaSのセキュリティは重要となりますが、アプリが多いので大変ですよね。。。
10年以上前...
・2010.03.27 総務省 クラウドコンピューティング時代のデータセンター活性化策に関する検討会(第4回)配付資料
« 公安調査庁 サイバー空間における脅威の概況2022 | Main | Cloud Security Alliance ソフトウェア定義境界 (SDP) とドメインネームシステム (DNS) の統合:強化されたゼロトラストポリシーの適用 (2022.04.12) »
Comments