成熟度モデルを活用したSaaS管理

次に、SaaSランドスケープを調査し、リスクを評価し、今後の道筋を決定するプロセスを開始する方法を紹介します。SaaS管理の成熟度は、以下に示した、可視性・使用状況データ・セキュリティ・最適化という4つの側面によるモデルで測ることができます。

  • SaaS管理の成熟度モデル

各カテゴリは上にいくに従って、手動の散発的なプロセスから、自動化された継続的なプロセスに進歩しています。例えば、Tier 3は、SaaS管理の開始を検討している企業にベースラインを提供し、Tier1は完全に成熟したプログラムがどのようになるかを示す良い例です。

このモデルに基づき、SaaSフットプリント全体の概要、アプリケーション所有者の特定、支出の調整などを行うことで、企業はアイデンティティのセキュリティ基盤であるアプリケーション全体の可視性に移行できます。

可視性を得たら、次のステップはSaaSの利用状況を評価することです。これには、各SaaSの機能を理解し、組織内の誰がどのSaaSを利用しているか、どれだけ利用しているか、どのようにアクセスしているかを判断することが含まれます。ITチームは、この情報を用いてセキュリティを強化し(リスクの高いアプリケーションや過剰にプロビジョニングされたユーザーを特定し)、支出の問題に対処します(未使用のライセンス、非アクティブなユーザー、不要なSaaSを排除します)。

さらに、セキュリティレビューを受けたアプリ、それらのアプリが持っている権限、シングルサインオン(SSO)認証を適用していないアプリ、認証や規制コンプライアンスにどのような脅威がもたらされるかも判断します。このレベルの分析を行うことで、企業は事業継続計画(BCP)と不測の事態のギャップに対処して、セキュリティを強化できます。

最適化では、「SSOで管理するSaaSを増やす」「SaaSの利用率のアップ」「シャドーITの削減」「リスクの高いアプリの認証」などを行います。もちろん、最終的な目標は、セキュリティとコンプライアンスを自動的に保証するアイデンティティプログラムとSaaSのニーズの進化に応じてユーザーに最大限の柔軟性を提供することです。

AIと機械学習の活用でゼロトラストを実現

SaaSに限らず、企業がセキュリティを守る上でアイデンティティは要となります。セキュリティの重要なミッションの一つが、組織内のすべてのデジタルアイデンティティへのアクセスを管理することです。したがって、アイデンティティ・セキュリティがセキュリティ戦略の出発点である必要があります。

アイデンティティを効率よく管理する秘訣は、人工知能(AI)と機械学習(ML)を活用することです。これにより、企業はアイデンティティ・プログラムを適切に管理することができます。例えば、AIは、ピアグループ分析、アイデンティティの属性、リアルタイムのアクセス状況を活用して、アクセスの承認と認証に関する自動化を提供し、認証者に対する処理を行い、多くの洞察を提供できます。一方、機械学習は、企業がリスクのある外れ値をより適切に特定できるようにする際に役立ち、潜在的な利益相反を即座に修正できます。

そして、AIと機械学習を利用する最も大きな利点はゼロトラストモデルの実装を実現することです。ゼロトラストとは、すべてを信頼せずに、すべてのアクセス要求を許可する前に完全に認証するセキュリティモデルです。これは、すべての企業が移行する必要のある新しいモデルであり、生産性とセキュリティの適切なバランスを取るために必要なデータ分析のレベルを引き上げるモデルです。

今日、企業にとって最も危険なものは隠れたリスクです。管理されていないクレデンシャル情報を侵害されると、重大な違反と不正なアクセスが発生し、詐欺やコンプライアンス違反につながるおそれがあります。すべてのアイデンティティを保護することは最優先事項であり、見ることができないものを保護することはできません。

著者プロフィール

SailPoint(セイルポイント)テクノロジーズジャパン合同会社 社長兼本社バイスプレジデント 藤本寛(ふじもと ゆたか)

広島県出身。日本オラクル入社後、2006年に執行役員アプリケーションマーケティング本部長に就任し、2008年からCRM事業担当となり、同社初のSaaSビジネスをリードする。2010年から日本マイクロソフトにて業務執行役員としてOffice365などの法人向け製品・クラウドサービスの製品営業部門を統括。2013年からは、ServiceNowの日本法人立ち上げをゼロから行った。2016年からクラウド型カスタマーサービスのZendeskの日本法人拡大やオフィス設立などを行い、企業のクラウド化を支援。2021年より現職。