SSPMとは、「SaaS Security Posture Management」の略称で、一般に「SaaSセキュリティ態勢管理」と訳されます。

SaaSは、クラウドサービスの提供形態の一つで、インターネットを介してソフトウェアを利用するサービスです。オフィスアプリの「Microsoft 365」やクラウドストレージの「Dropbox」、CRMソフトの「Salesforce」、Web会議ツールの「Zoom」など、幅広い分野のサービスが提供されています。

SaaSでは、サービスを提供する事業者が、さまざまなセキュリティ機能を提供しています。これを活用するために、自社のセキュリティポリシーに沿って適切な設定を行うことは、ユーザー自身の責任です。

しかし、SaaSの設定は複雑な場合も多く、また、頻繁にアップデートされるため、常に最適な状態を維持することは容易ではありません。さらに、複数のサービスを利用している場合には、セキュリティ維持の負担はより高まるでしょう。

そこで重要な役割を果たすのがSSPMです。SSPMは、対象となるSaaSの設定状況を継続的に監視し、設定ミスやセキュリティポリシー違反を検知してユーザーに知らせてくれます。 SSPM導入の際には、ISO/IEC 27001やSOC2など、グローバルなセキュリティ基準に準拠したチェック項目が用意されているか、確認するとよいでしょう。

SSPMと混同しやすいソリューションに「CSPM」があります。CSPMは「Cloud Security Posture Management」の略称で、「クラウドセキュリティ態勢管理」と訳されます。

SSPMとCSPMの違いは、対象とするクラウドサービスの形態にあります。SSPMがSaaSを対象としているのに対して、CSPMはAWSやAzureなどのIaaS/PaaSが対象です。対象のサービスは異なるものの、設定を継続的に監視し、設定ミスやセキュリティポリシー違反を通知するという基本的な役割には大きな違いはありません。

SaaSのセキュリティを管理するSSPMが持つ、代表的な機能とその役割は以下のとおりです。

こうした基本的な機能に加えて、製品によって特色ある機能が提供されています。SSPMの効果的な活用により、SaaS利用の安全性を一段と高めることが期待できるでしょう。