CSAは最近、長年のサードパーティリスク管理のギャップを埋めるために新しいセキュリティ規則を発表しました。
Danielala – shutterstock.com
Cloud Security Alliance(CSA)のSaaS Security Capability Framework(SSCF)は、SaaSプロバイダーがゼロトラストの原則を自社環境に統合し、サードパーティによるリスクが増大する中で顧客に一貫したセキュリティコントロールを提供できるよう支援するものです。このガイドラインの発表は、最近のSalesforce SaaSアプリケーションへの攻撃を受けて、セキュリティ業界の注目を集めています。
この新しい規則は、SaaSアプリケーションのセキュリティに関する技術的な最低要件を定義する業界標準として機能し、特にいわゆる「共有セキュリティ責任モデル」の対象となるものに適用されます。
SSCFは、6つのセキュリティ分野におけるコントロールを定めています:
- 変更管理および構成管理;
- データセキュリティおよびプライバシーライフサイクル管理;
- アイデンティティおよびアクセス管理;
- 相互運用性およびポータビリティ;
- ログ記録および監視;
- セキュリティインシデント管理、電子証拠開示、クラウド・フォレンジック。
これらの分野は、一般的なビジネス要件を実際に顧客が設定・信頼できる具体的なSaaSセキュリティ機能に変換することを目的としています。例えば、ログ転送、SSO強制、安全な構成のポリシー、インシデント発生時の通知などが含まれます。
このアプローチは、ISO 27001のようなビジネス指向のセキュリティフレームワークを補完するものであり、置き換えるものではありません。
新しいSaaSフレームワークに対する専門家の声
SaaSセキュリティプロバイダーAppOmniの共同創設者兼CTOであり、SSCFの主執筆者であるBrian Soby氏は、SaaS Security Capability Frameworkを業界にとって重要な進歩と位置付けています。「これは、企業が古いリスク評価から脱却し、ゼロトラストの原則を本当にSaaS環境に統合するのを支援する、明確で統一された、そして切実に求められていた標準を提供します。」
ファイアウォールポリシー管理企業FireMonの国際事業担当SVPであるDavid Brown氏も進歩であるとしつつ、「フレームワークは、運用上のコントロール、特にネットワークポリシーの継続的な可視化、厳格な出口コントロール、自動化されたコンプライアンスチェックに落とし込まれて初めてリスクを低減できる」と指摘しています。
Brown氏はさらに、「ネットワーク構成のリアルタイム検証とSSCF要件を組み合わせることで、コントロールが機能していることを証明し、SaaS関連のリスクを大幅に削減できます」と述べています。
継続的な検証が必要
インターネットトラフィックの増大する割合が非人間的なアクターによって生成されています。ボット、エージェント、自動化システムがSaaSアプリケーションと従来の監視方法では見落とされがちな方法でやり取りしています。
APIContextのCEOであるMayur Upadhyaya氏は「SSCFは、SaaS環境における『デフォルトでのセキュリティ』がどのようなものであるべきかについて、切実に求められていた基準を提供します」と強調しています。「顧客領域内での技術的コントロールに焦点を当てている点は時宜を得ており、特に社内ユーザー、サードパーティ統合、機械によるトラフィックの境界がますます曖昧になっている現在において重要です。」
Upadhyaya氏はさらに「SSCFのようなフレームワークは、この拡張された領域を反映し、静的な構成だけでなく継続的な検証を促進する場合にのみ効果的です」と付け加えました。(jm)
