DXと共に導入が進むSaaSが抱えるリスクとその対応策とは?
企業はDX(デジタルトランスフォーメーション)を推進する中でSaaSの採用を進めており、2022年には90%の企業がクラウドベースのアプリに移行すると予想されています。
そして、新型コロナウイルスが感染拡大する中、企業はリモートワークへの移行を余儀なくされましたが、SaaSによって企業の生産性は向上しました。ただし、オフィスワーカーが仕事を成し遂げるためにさまざまなSaaSの利用を開始した一方、IT部門はSaaSの洪水に追いつくために奮闘しています。
SaaSによって増えるセキュリティリスク
一般に、利用するツールが増えれば増えるほど、IT環境の複雑さは増します。ITチームとセキュリティチームは現在、利用が増えているSaaSによる柔軟性をサポートすると同時に、企業とその資産を保護するという難しいタスクに直面しています。
SaaSは気軽に利用できるため、IT部門の許可を得ることなく使われている可能性があります。コロナ禍において、SaaSの無秩序な増加は勢いを増すばかりであり、ガードレールが設置されないとさらに制御不能になる可能性のある暴走列車ともいえます。
さらに、社内の機密データを許可されていないSaaSアプリに統合する(または「無制限のアクセスを提供する」)従業員が増えるにつれ、無数の第三者が企業システムに不適切にアクセスしているおそれがあります。つまり、データにアクセスできることすら知らなかったベンダーからの侵害に直面する可能性があります。これは、サプライチェーン攻撃と呼ばれます。
また、世界中でデータプライバシーに関する規制が強化される中、SaaSは企業に災いをもたらす可能性があります。なぜなら、管理されていないSaaSを利用していると、重要なデータの突然の損失や盗難に加え、深刻なプライバシー侵害とコンプライアンス違反に対する多額の罰金という問題が降りかかってくる可能性があるからです。
セキュリティのリスクに加えて、無駄な支出の問題もあります。平均的な中堅企業は、SaaSに従業員1人当たり年間約4,379ドルを費やしています。ただし、そのライセンスの30%は十分に使われていないか、場合によっては完全に使われていないと推定されています。
これは、過剰なプロビジョニングが、数十万ドルの浪費(大規模なグローバル企業の場合は数百万ドル)につながる可能性があることを示す憂慮すべき話です。
SaaSの管理を自動化する
では、こうした問題をどのようにして、解決していくべきでしょうか。スプレッドシートのようなツールを使って手動で監査を行っていては、全体を把握できません。企業のSaaSの利用状況は日々変化しています。そのため、変化に追随できないスプレッドシートは、調査が完了した時点で現実に即した内容ではなくなっています。また、手動監査をより迅速に実施する方法があったとしても、従業員が申告を忘れた(または開示しない)アプリはどうでしょうか。それらはどのように発見するのでしょうか。
ここで使うべきは「自動化」です。具体的には、検出と管理を自動化するのです。これらの機能を備えた自動化ツールを活用することで、組織は最終的にSaaSの環境全体を継続的かつ正確に可視化することが可能になります。
これは「SaaS管理」と呼ばれるもので、SaaSを利用しているすべての企業が行うべきことです。この可視性は、セキュリティ対策を成功させる上で、企業が必要とする基盤を提供します。
「SaaS管理」では、すべてのSaaSのアイデンティティとアクセス状況を管理するとともに、ソフトウェアの支出を制御し、最終的にリスクを軽減するための制御を実現します。リスクには、機密データが保護されていないSaaSに保存される危険性、従業員が不要なアクセス権を過剰にプロビジョニングする危険性の両方が含まれます。
「SaaS管理」はSaaSの利用にまつわる問題に対し、企業がプロアクティブなアプローチをとることを可能にします。IT、財務、調達、販売、マーケティングなどすべてのチームが、利用されているSaaS、SaaSの利用者、利用方法、コストを一元管理していることを想像してみてください。これは、革新と成長を目指す企業にとって強力な競争上の優位性と言えます。