The Hacker Newsはこのほど、「Top 4 SaaS Security Threats for 2023」において、2023年に向けて、SaaS(Software-as-a-Service)を強化し、安全を確保するために企業が注目すべき4つのセキュリティ脅威を紹介した。SaaS業界ではこの1年間でさまざまな違反や攻撃、情報漏えいが発生しており、来るべき年に備えてセキュリティ課題に立ち向かう絶好の機会と伝えられている。
2023年に注意すべきSaaSの脅威は次のとおり。
- 設定ミスの多発
- SaaS間のアクセス
- デバイスからSaaSへのユーザーリスク
- アイデンティティとアクセスガバナンス
設定ミスは、手作業で防ぐことは困難な問題といえる。セキュリティチームは、設定ミスが発生するのはどのユーザーか、そのユーザーは管理者権限なのか、多要素認証(MFA: Multi-Factor Authentication)を有効にしているかなどについて、すぐに回答できるようにしておくことが重要とされている。
セキュリティ上の大きな課題として、企業のSaaS環境に接続されるアプリの増加も挙げられている。セキュリティチームはシャドーITの領域に対してサードパーティアプリを発見し、リスクをもたらすものを特定することが必要とされている。
安全が確保されていない個人のデバイスからSaaSにアクセスするユーザーからの脅威にも対処する必要がある。特に、そのデバイスの所有者が高い権限を持つ場合、組織にとって高いレベルのリスクをもたらすことになると指摘されている。
すべてのSaaSのユーザーが脅威要因のゲートウェイとなる可能性も指摘されている。適切なアクセス制御と認証設定を確保するプロセスは、個人ベースのアクセスではなくロールベースのアクセス管理の検証やアクセスガバナンスの確立に不可欠なものとされている。ユーザーの活動が組織のセキュリティガイドラインに適合しているかどうかを確認するために、すべてのアイデンティティを監視する必要があると説明されている。