アクセス制御とは

SaaSセキュリティにおけるアクセス制御とは、SaaSアプリケーションとその関連データへのユーザーアクセスを規制するために実装された方法とポリシーに関連するものです。これには、許可された個人と許可された非人間アカウントのみがSaaSプラットフォームとそのリソースにアクセスできるようにするための権限、ロール、および認証メカニズムの管理が含まれます。SaaSセキュリティのアクセス制御では一般に、多要素認証、RBAC（ロールベースのアクセス制御）、きめ細かな権限設定などの手法を採用して、不正アクセス、データ侵害、インサイダー脅威に関連するリスクを軽減します。アクセス制御手段を効果的に実装することで、組織は機密データを保護し、SaaS環境における規制要件へのコンプライアンスを維持できます。

組織がSaaSアプリケーションへのアクセスを制御するさまざまな方法

組織がSaaSアプリケーションへのアクセスを制御する方法には、次のものがあります。

パスワードポリシー

最小の長さや、大文字と小文字、数字、特殊文字を含めるといった、特定の複雑さの基準を満たすパスワードの使用を義務付けます。定期的なパスワードの変更を義務付ける組織もある一方で、同じ強力なパスワードを長期間使用することをユーザーに求める組織もあります。ほとんどの組織では、パスワードの再利用を禁止しています。

SSO（シングルサインオン）

SSOにより、ユーザーは単一のログイン認証情報のセットで複数のSaaSアプリケーションにアクセスできるようになるため、認証が合理化され、セキュリティを確保しながら操作性を向上できます。

MFA（多要素認証）

パスワードはフィッシングやブルートフォースなどの手法によって、簡単に推測、窃取、解読される可能性があるため、SaaSアプリケーションへの不正アクセスを防ぐにはパスワードだけでは不十分です。多要素認証では、アクセスを許可する前に、ユーザーに複数の形式で身元を証明するよう要求することで、セキュリティを強化しています。これには、ユーザーが知っているもの（パスワード）、所有しているもの（スマートフォン）、ユーザーに固有のもの（指紋や顔認識）があります。

MFA（多要素認証）を導入すると、攻撃者がユーザーのパスワードを入手できたとしても、2番目の認証要素が必要なため、不正なユーザーがシステムに侵入することが著しく困難になります。

RBAC（ロールベースのアクセス制御）

RBAC（ロールベースのアクセス制御）は、SaaSセキュリティで広く採用されているアクセス制御モデルです。職務上の責任に基づいてユーザーをさまざまなロールに分類し、それに応じて権限を付与します。

これによりセキュリティチームは、POLP（最小特権の原則）を導入できます。これは、ユーザーおよびアプリケーションに、必要なタスクを実行するのに必要な最小限のレベルのアクセスのみを付与するという概念です。このアプローチは、セキュリティ侵害や不正なアクティビティの潜在的な影響を軽減することを目的としています。RBACは、管理オーバーヘッドを削減することでアクセス管理のプロセスを簡素化し、スケーラブルで管理しやすいセキュリティ手法を実現します。

例えば、CRM SaaSアプリケーションでは、営業担当者には顧客データにアクセスしてレコードを更新する権限を付与し、カスタマーサポート担当者には同じデータへの読み取り専用アクセスのみを付与します。

定期的なユーザーアクセスレビュー

ユーザーに現在の職務に必要なリソースのみへのアクセス権が付与されていることを確認するために、定期的なアクセスレビューを実施する必要があります。これにより、休眠アカウントや機密データへの不正アクセスのリスクが軽減されます。組織は、元従業員、休眠アカウント、外部ユーザーを把握し、適切にデプロビジョニングする必要があります。

元従業員は完全にデプロビジョニングする必要があります。多くの組織は、従業員が会社のIdP（アイデンティティプロバイダー）から削除されると、自動的にデプロビジョニングされるものと考えますが、必ずしもそうとは限りません。同様に、ユーザーのアクセス権が速やかかつ適切に取り消されない場合、プロジェクトの終了後も外部ユーザーアカウントがアクティブなままになることがあります。組織は、レビューを実施してユーザーアカウントを解除するかどうかを決定しない限り、誰が機密データにアクセスできるのかを把握できません。

監査ログとモニタリング

SaaSアプリケーション内のユーザーアクティビティを追跡するには、包括的なロギングおよびモニタリングメカニズムを導入する必要があります。監査ログは、疑わしい振る舞い、潜在的なセキュリティ侵害、ポリシー違反を特定するのに役立ちます。これらのログをリアルタイムでモニタリングすることで、セキュリティインシデントに速やかに対応できます。

SaaSアクセス制御のベストプラクティス

ほとんどの組織では、代理店や請負業者と円滑に共同作業できるようにするために、外部ユーザーにSaaSアクセスを提供する必要があります。ただし、外部アクセスを提供する際には予防措置を講じる必要があります。外部ユーザーと共同作業する際のベストプラクティスをいくつか紹介します。

• 権限を制限する：外部ユーザーに管理者権限を付与してはなりません。外部ユーザーのアクセスは、必要に応じて制限する必要があります。
• ユーザー認証を必須にする：外部ユーザーがリンクからドキュメントにアクセスすることを許可しません。何らかの種類の認証を要求してください。
• パスワードの共有を許可しない：外部ユーザー間でのパスワードの共有を禁止して、制御を維持します。
• アプリケーションの招待を制限する：可能であれば、招待に有効期限を追加して、プロジェクト終了後は招待を使用してアクセスを取得できないようにします。
• 必要に応じてアクセス権を取り消す：プロジェクトが終了したら、ユーザーのアクセス権を取り消します。

アクセス制御に関して、人間のアカウントと非人間アカウントには違いがあるか

SaaSアプリケーションには、人間のアカウントと非人間アカウントがアクセスします。人間のアカウントは通常、ユーザー名とパスワード、多要素認証、SSOを使用してアクセスを取得します。非人間アカウントは通常、作成時に承認され、2番目の認証方法が求められることはありません。

組織がアプリケーションへのアクセスを制御する際、非人間アカウントは見落とされがちです。しかし、アクセスが制限されないことから、非人間アカウントは脅威アクターの標的となります。組織は、ユーザーインベントリーを通じて非人間アカウントをモニタリングし、過剰な権限が付与されていないことを確認する必要があります。非人間アカウント設定をモニタリングして、これらのアカウントに付与される権限を制限するための制御が実施されていることを確認してください。

クラウドストライクでSaaSアクセス制御を簡素化

SaaSソリューションの導入が進むにつれ、SaaSセキュリティにおける堅牢なアクセス制御の確保が極めて重要になっています。組織は、ロールベースの権限、多要素認証、定期的なユーザーアクセスレビュー、包括的なモニタリングを組み合わせ、適切に構成されたRBACを導入する必要があります。

能動的にアクセス制御を実施することで、企業は不正アクセスや潜在的なサイバー脅威に対するSaaSアプリケーションの守りを固めることができます。さらに、強力なアクセス制御戦略はユーザー、顧客、パートナーからの信頼を育み、最終的に安全で良好なSaaS環境を実現することができます。

CrowdStrike Falcon® Shieldでは、ユーザーインベントリー、ユーザーアクティビティのモニタリング、権限インベントリーを使用して、機密性の高いSaaSアプリケーションへのアクセスを制御できます。