Microsoft 365などのSaaSのセキュリティ対策って何をすればいいの? 企画・検討フェーズ
答えSaaSのセキュリティ設定を定期的に確認し、脆弱な設定がある場合は対策を実施しましょう
SaaS(Software as a Service:サース/サーズ)とは、サービスの提供者(サーバ)側で稼働しているソフトウェアを、ネットワーク経由で利用するクラウドサービスのことです。
代表例として、Microsoft 365(旧称 Office 365)などのクラウドサービスが該当し、企業での利用が増加しています。
近年では、SaaS 利用者の設定漏れなどでセキュリティインシデントが発生するという報道が確認されており、セキュリティ課題の一つとして挙げられることがあります。
そこで、まずは利用者が実施すべきセキュリティ対策の内容を把握し、現状の設定状況を確認する必要があります。
SaaS のセキュリティ対策として、サービス提供者が実施する対策と、利用者が実施する対策とで大別されます。
利用者が実施するセキュリティ対策は、利用者の責任で実施しなければなりません。
また、クラウドサービスごとに気をつけるポイントや設定項目が違っているうえ、頻繁に機能拡充やアップデートが実施され、担当者が全ての設定項目を把握し、セキュアな状態を継続して維持することは困難です。
設定箇所の例としては、
・ユーザの認証設定(多要素認証など)
・ストレージの設定(社外へのファイル共有やファイル共有の有効期限など)
・メール転送先設定(社外のアドレスに転送など)
などが挙げられ、さまざまな設定が存在します。
そして、利用者が意図的に変更できる機能なども存在し、クラウドサービスの利用中に誤って設定を変更してしまうこともリスクとして考えられます。
当社では、このようなセキュリティ設定の確認と課題点に対する対策方法をレポーティングするMicrosoft 365 セキュリティ診断サービスを提供しております。
本診断サービスでは、CISベンチマークに基づき診断を実施し、分析結果と対策方法をレポートしますので、定期的に診断を実施し、脆弱な設定に対して対策を実施することができます。
Center for Internet Security にて、クラウドやシステムを安全に構成するための構成基準やベストプラクティスをまとめた内容となります。
- この課題を解決するサービス/ソリューション
- Microsoft 365 (旧称Office 365)セキュリティ診断サービス
- この課題に関連したサービス/ソリューション
掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。
