SSPM
掲載:2024年05月23日
用語集
「SSPM」とは、SaaSアプリケーションのセキュリティ状態を継続的に管理し、改善するためのソリューションです。近年、企業によるSaaSの活用が広がる中、ユーザーの設定ミスに起因する情報漏洩や不正アクセスなどが増えています。SSPMの導入は、SaaS利用のセキュリティリスクを未然に検知し防止する効果的な対策の一つです。
SSPMとは
SSPMとは、「SaaS Security Posture Management」の略称で、一般に「SaaSセキュリティ態勢管理」と訳されます。
SaaSは、クラウドサービスの提供形態の一つで、インターネットを介してソフトウェアを利用するサービスです。オフィスアプリの「Microsoft 365」やクラウドストレージの「Dropbox」、CRMソフトの「Salesforce」、Web会議ツールの「Zoom」など、幅広い分野のサービスが提供されています。
SaaSでは、サービスを提供する事業者が、さまざまなセキュリティ機能を提供しています。これを活用するために、自社のセキュリティポリシーに沿って適切な設定を行うことは、ユーザー自身の責任です。
しかし、SaaSの設定は複雑な場合も多く、また、頻繁にアップデートされるため、常に最適な状態を維持することは容易ではありません。さらに、複数のサービスを利用している場合には、セキュリティ維持の負担はより高まるでしょう。
そこで重要な役割を果たすのがSSPMです。SSPMは、対象となるSaaSの設定状況を継続的に監視し、設定ミスやセキュリティポリシー違反を検知してユーザーに知らせてくれます。 SSPM導入の際には、ISO/IEC 27001やSOC2など、グローバルなセキュリティ基準に準拠したチェック項目が用意されているか、確認するとよいでしょう。
SSPMとCSPMとの違い
SSPMと混同しやすいソリューションに「CSPM」があります。CSPMは「Cloud Security Posture Management」の略称で、「クラウドセキュリティ態勢管理」と訳されます。
SSPMとCSPMの違いは、対象とするクラウドサービスの形態にあります。SSPMがSaaSを対象としているのに対して、CSPMはAWSやAzureなどのIaaS/PaaSが対象です。対象のサービスは異なるものの、設定を継続的に監視し、設定ミスやセキュリティポリシー違反を通知するという基本的な役割には大きな違いはありません。
SSPMの主な機能
SaaSのセキュリティを管理するSSPMが持つ、代表的な機能とその役割は以下のとおりです。
機能 | 役割 |
---|---|
設定監視 | SaaSの設定状況を継続的に監視し、設定ミスやポリシー違反を検知 |
修復 | 検知された設定ミスやポリシー違反の自動修復や修復方法の提示 |
リスク評価 | 検知された設定ミスやポリシー違反に基づく、SaaSアプリケーション全体のリスク評価 |
ダッシュボード | SaaSのセキュリティ状況を一目で把握できる視覚的なダッシュボードを提供 |
こうした基本的な機能に加えて、製品によって特色ある機能が提供されています。SSPMの効果的な活用により、SaaS利用の安全性を一段と高めることが期待できるでしょう。