ジェシー・キンザー、Pathwire CISO
SaaS(Software as a Service)企業の成長速度が速く、規模が大きくなるほど、サイバー犯罪者の標的となりやすくなります。貴社のセキュリティプログラムは強固な基盤の上に構築されていますか?初期段階で適切な対策を講じることで、組織は将来のセキュリティ課題に備えることができます。
スタートアップの段階では、ユーザーを増やし、市場のニーズに対応し、製品を構築することが最優先事項です。しかし、SaaS企業が拡大するにつれて、より強力なセキュリティ対策の必要性も高まります。顧客のプライバシー、ブランドの評判、そしてアプリケーションの整合性を守る必要があります。
Pathwireは、野心的な目標を掲げ、急成長を遂げているMarTechソリューションです。しかし、目標達成のためにセキュリティリスクを無視することは決してありません。私たちのチームは、新興SaaS企業が採用できる包括的なサイバーセキュリティアプローチを採用しています。そのアプローチは、以下の5つの柱から成ります。
- 製品セキュリティ
- 検出と対応
- 企業セキュリティ
- インフラストラクチャセキュリティ
- 信頼
これらの領域はすべて相互に関連しています。ある領域の脆弱性は、容易に別の領域の問題を引き起こします。個別に見れば、それほど重要ではないように見えるかもしれません。しかし、それらが組み合わさると、壊滅的な結果を招く可能性があります。企業に対する高度な攻撃は、複数の脆弱性を狙った一連のエクスプロイトで構成される可能性が高いでしょう。
これら 5 つの柱を検討して、現代の SaaS 企業がセキュリティを全面的に向上させる方法を見つけてみましょう。
1. 製品のセキュリティ
アプリケーション自体が攻撃者にとって最も価値のある標的であることは間違いありません。犯罪者が組織に最も大きな損害を与える可能性がある場所であるため、アプリケーションは保護すべき資産です。
定期的な外部および内部の侵入テストが鍵となります。3つのアプローチを推奨します。
- ロールアウト前に新しい変更を継続的にテストする社内セキュリティ チームの専門家。
- 資産の「ポイントインタイム」テストとして実行されるサードパーティの外部ペンテスト。
- 世界中のセキュリティ研究者を招待して、あなたの製品を継続的にハッキングするバグ報奨金プログラムです。
まず第一に、そして最も重要なのは、開発チームと積極的に連携し、安全な製品機能の構築を指導する強力な社内セキュリティチームです。社内セキュリティは、計画段階からリリースに至るまで、ソフトウェア開発者と連携して取り組む必要があります。
次に、標準的なセキュリティ監査を実施してレポートを提出する以上のサービスを提供できるペンテスター会社を選びましょう。自社の技術スタックに特化したエンジニアリングのバックグラウンドを持つ会社を探しましょう。これらのテストは時間制限があるため、脆弱性を迅速に悪用する方法を知っているペンテスターを雇うことで、最大限の効果が得られます。
最後に、バグ報奨金プログラムを活用してセキュリティプログラムを拡張しましょう。こうしたプログラムには様々な形態がありますが、まずは自社製品のハッキングに招待するユーザーをコントロールできるプライベートプログラムから始めることをお勧めします。大量の報告に対応できる体制が整ったら、プログラムを一般公開へと拡大していくことができます。
バグバウンティプログラムのメリットは、世界中のハッカーの多様な視点を活用できることです。Pathwireは、賞金稼ぎが無法者や逃亡者を捕まえて金銭を得るのと同じように、セキュリティ研究者に金銭的な報酬を提供します。完全に安全なアプリケーションは存在しません。バグバウンティプログラムは、未知のセキュリティ脆弱性を暗闇から明るみに出すことで、対処を支援します。
2. 検出と対応
強力な検知・対応チームの存在は、成熟したセキュリティプログラムの重要な要素です。ログを集約・一元管理することで、組織は環境内のあらゆるアクティビティを把握できます。しかし、これがなければ、ある時点で何が起こっているのかを可視化することはできません。
すべてのログを一元管理できるようになったら、保有するデータから意味のあるアラートを定義し始める時です。検知機能の構築は継続的なプロセスであり、ビジネスの成長に合わせて進化していきます。脅威は日々変化することを念頭に置いてください。そのため、検知・対応プログラムも迅速に適応する必要があります。
組織は、たとえ何が起こっているかに気づいていなくても、セキュリティインシデントに遭遇することがあります。インシデントシナリオに基づいたプレイブックと自動化を積極的に構築し、チームが予期せぬ事態に対応できるよう準備を整えましょう。
3. 企業のセキュリティ
Insider Data Breach Survey 2021によると、深刻なデータ侵害の84%は人為的なミスに起因しています。従業員によるこのようなミスを軽減するために、貴社ではどのような対策を講じることができますか?
企業のセキュリティポリシーは、攻撃者に対する重要な防御線です。顧客が企業にデータのセキュリティ確保を期待していることは、従業員の業務遂行方法にも反映されるべきです。組織内のすべてのビジネスアプリへのアクセスを一元管理するために、サードパーティのIDプロバイダーの活用をお勧めします。これにより、従業員が会社全体で多要素認証(MFA)を確実に利用できるようになります。
Pathwireでは、Oktaを利用して、従業員ごとに固有のハードウェアMFAデバイスの使用を義務付けています。これらのデバイスは、攻撃者がシステムにアクセスするには物理的なキーが必要となるため、セキュリティをさらに強化します。
成長は速く、ユーザーを急速に増やしているSaaS企業は、従業員も増やす傾向があります。Pathwireの従業員数(契約社員を含む)は、2年半で300%以上増加しました。成長に伴い、サイバーセキュリティポリシーの強化と周知徹底が不可欠となっています。
従業員教育は鍵となります。従業員一人ひとりの役割と責任に関連するセキュリティ問題についてトレーニングを実施することで、ミスを防ぐことができます。定期的なセキュリティチェックを実施することで、トレーニングの効果を測ることができます。自動フィッシングメールの送信、安全でないデバイスを探すためのオフィス巡回、ランダムな監査などを通じて、チームの改善点を明確にすることができます。
企業のセキュリティポリシーは、特にSaaS業界において、多くの従業員が受け入れている「常時接続」のワークスタイルという新しい規範にも対応する必要があります。適切な管理体制が整っていれば、従業員が個人所有のデバイスを業務に使用することは許容されます。こうした管理体制には、運用資産へのアクセスを許可する前に承認されたアクセスリクエストを要求することや、完全に実装されたゼロトラストアーキテクチャなどが含まれます。
「BYOD(個人所有デバイスの持ち込み)」ポリシーを積極的に定義することで、従業員が使用できるハードウェアの優先順位が設定されます。
4. インフラストラクチャのセキュリティ
SaaS企業は、製品を構成するデータやアプリケーションをサポートするために複雑なインフラストラクチャを持つ場合があります。アプリケーションと同様に、これらの資産についても構成ミスや脆弱性がないか継続的にテストを実施してください。
定期的なプロアクティブスキャンにより、開発およびテストサイクルの早い段階で、本番環境へのリリース前に問題を検出できます。クラウド資産に直接アクセスするのではなく、インフラストラクチャ・アズ・コード(IaC)を採用し、自動デプロイメントを活用することをお勧めします。
従業員によるインフラへの直接アクセスを可能な限り削減し、環境に変更を加える際はコードの使用を推奨します。最小権限の原則に従い、アクセスを絶対に必要とするユーザーにのみアクセスを許可します。
多層防御の概念は、インフラストラクチャのセキュリティにさらなる保護層を追加します。これは、攻撃に対する防御として、複数の独立した手法を採用することを意味します。これにより冗長性が確保され、1つの手法が失敗しても、別の手法がそれを代替します。
信頼できるパブリッククラウドプロバイダーを利用しましょう。Google Cloud Platform(GCP )、Amazon Web Services(AWS)、Microsoft Azureは、この分野で確固たる地位を築いており、いずれも実用的なインフラストラクチャソリューションです。これらのプロバイダーは、クラウドインフラストラクチャの安全性を確保するために大規模なセキュリティチームを擁し、問題がないことを確認するために定期的な監査を受けています。
保管するデータに関して、組織がどのようなリスクを負う意思があるかを判断してください。サービスが正常に機能するために実際に必要のないものは保管しないでください。クレジットカード番号、社会保障番号、銀行口座番号などは、日常的なアプリケーションでは不要な場合があります。そのため、Pathwireはサードパーティの決済処理業者と提携し、すべての金融取引を代行処理することで、リスクを大幅に軽減しています。
5. 信頼
Pathwireは、買収を通じて2年足らずで2つの新しいアプリケーションを製品ラインナップに追加しました。これらの買収により、ユーザー数は急増しました。SaaS企業として、私たちはお客様のデータとプライバシーを保護するとともに、ユーザーのセキュリティ上の脆弱性に起因するアプリケーションへの攻撃を防ぐ責任を負っています。
顧客の信頼を高める機能の開発に専任チームを編成することで、ソフトウェアは攻撃から常に先手を打つことができます。お客様がアプリを使用する際にセキュリティ意識を高められるよう支援しましょう。アプリ内でログをネイティブに表示したり、最後にログインした場所を確認したり、未完了のセッションを取り消したりする機能などを提供してください。
顧客基盤の拡大に伴い、攻撃対象領域も拡大します。顧客ニーズの変化に合わせて、リスクを継続的に分析してください。これは、プラットフォームの利用に伴う具体的なリスクへの対処方法を徹底的に検討することを意味します。多要素認証とシングルサインオン(SSO)のオプションを提供することで、顧客が自身のリスクプロファイルに最適な認証オプションを選択できるようにしてください。
Pathwireは、ログイン時の本人確認(ログインチャレンジ)を利用してセキュリティをさらに強化しています。2019年にニューヨーク大学が行ったGoogleのログインチャレンジに関する調査では、デバイスによる本人確認によってフィッシング攻撃の94%、自動攻撃の100%が阻止されたことが明らかになりました。
プライバシー、コンプライアンス、不正使用防止
不正使用防止対策に加え、一般データ保護規則(GDPR)やカリフォルニア州消費者プライバシー法(CCPA)などのプライバシー法の遵守を最優先に考える必要があります。これらの法律や規制は常に変化しているため、常に最新の情報を把握し、コンプライアンスを遵守するようにしてください。
Pathwireのようなコミュニケーションプラットフォームにとって、悪意のある行為者を締め出すことは極めて重要です。私たちの事業が存在する根本的な理由は、メール送信に使用されるプロトコルであるSMTPが容易に悪用され、悪用される可能性があることです。ブランドは、送信者のレピュテーション向上とメールの到達率の最大化を私たちに期待しています。そのため、私たちはスパマーを寄せ付けないようにしなければなりません。だからこそ、私たちは、つながりのある体験を創造しようとするブランドのために、信頼できるメールインフラを構築したのです。
Pathwireは、強力でスケーラブルなインフラストラクチャと信頼できる人材を組み合わせ、毎年2,400億通以上のメールをお客様に送信しています。当社の専門家は、お客様と購読者の所在地に固有のデータプライバシーとセキュリティ要件を理解しています。CPaaSのグローバルリーダーであるSinchは、9月30日にPathwireを買収する契約を締結しました。
