セキュリティ研究者は、ソフトウェア・アズ・ア・サービス(SaaS)資産が大幅に増加していることに気づいており、2023年には週平均286,000件の新規資産が生成され、前年から189%増となりました。
このデータはDoControlの「2024年版 SaaSデータセキュリティの現状レポート」によるもので、従業員の6人に1人が個人のメールアカウントを通じて会社データを共有していたことも示されており、内部脅威の蔓延を浮き彫りにしています。
DoControlのCEO兼共同創業者であるアダム・ガビッシュ氏は、今日のデジタル環境においてセキュリティプロトコルを強化することの重要性を強調しました。
「2023年末までに平均的な企業が2,280万件のSaaS資産を管理しており、同年1月から189%増加したという事実そのものが、企業が現行のセキュリティプロトコルをより一層厳格化することを検討する必要性を改めて示しています」と同幹部は述べました。
「SaaSのセキュリティ態勢が不十分であれば、潜在的な侵害のリスクにさらされるだけでなく、ブランドの評判や事業全体の成果にも重大な損害を与えかねません。」
本レポートは、内部脅威、データ露出、古いアクセス権限、過剰権限のサードパーティOAuthアプリという4つの主要領域に焦点を当てています。
従業員が個人のメールアカウントを介して会社所有の資産を共有するケースが182%増加したこと、またSaaSアプリ内に5,860件を超える暗号化キーが保存されていることが明らかになりました。さらに、社内全体に公開されている機微な資産が49%増加しており、週平均21,000件の新規資産が外部に公開されています。
古いアクセス権限は重大なリスクとなっており、企業の90%が、退職後も元従業員がSaaSアプリケーションにアクセスしていると報告しています。加えて、調査対象企業の100%が、5年以上前に外部共有された資産をGoogle Workspaceに保存しており、監視されていない攻撃対象領域の存在を示しています。
本レポートは、過剰な権限が付与されたサードパーティOAuthアプリの問題にも言及しており、これらのアプリの65.5%は付与されたアクセス権を必要としていなかったことが明らかになりました。2023年にインストールされた29,000件のサードパーティアプリのうち、90%は直近30日間に使用されておらず、セキュリティリスクをさらに悪化させています。
OAuthセキュリティについて詳しく読む:APIセキュリティの欠陥がGrammarly、Vidio、Bukalapakに影響
これらのリスクを軽減するため、DoControlはSaaSアプリケーション向けに、集中管理された自動化データアクセス制御を推奨しました。 レポートの調査結果 は、企業がセキュリティ戦略を強化し、データ資産を保護するための積極的な対策を採用することが急務であることを強調しています。
翻訳元: https://www.infosecurity-magazine.com/news/surge-saas-assets-employee-data/
