[新製品・サービス]
マクニカ、SaaS設定監査サービスを提供、SaaSセキュリティ動態管理「Adaptive Shield」を活用
2022年9月30日(金)日川 佳三(IT Leaders編集部)
マクニカは2022年9月29日、「SaaS設定監査レポートサービス」を発表した。企業が利用しているSaaSのセキュリティ上の設定不備を調査し、対策方法を報告する。ツールとして、SaaSの設定を管理するSSPM(SaaSセキュリティ動態管理)製品「Adaptive Shield」(イスラエルAdaptive Shield製)を活用する。自社の状況を1度のみ確認するスポットサービスとして提供するが、Adaptive Shieldを継続利用するための支援も可能である。価格は個別見積もり。
マクニカの「SaaS設定監査レポートサービス」は、企業が利用しているSaaSのセキュリティ上の設定不備を調査し、対策方法を報告するスポットサービス(図1)。SaaSの設定を、業界標準のセキュリティ基準と照らし合わせてチェックする。SaaS設定の定常監視を検討する前に、まずは現状の可視化をしたい場合に適する。
図1:「SaaS設定監査レポートサービス」の概要(出典:マクニカ)拡大画像表示
監査レポートでは、設定をスコア化して可視化し、脆弱な設定の一覧や、修正方法を提示する。ユーザーにとっての優先順位や、対応が必要な範囲を提示する。一部のSaaSに対しては、マクニカの独自視点での見解を示す。重大な事案に関しては、マクニカのエンジニアが影響度やリスクを解説する。
SaaSの設定を監査するツールとして、SSPM(SaaSセキュリティ動態管理)製品「Adaptive Shield」を活用する。同ツールの特徴は、70種類以上のSaaSについて監査できることと、セキュリティ監査の項目数が多いこと。「SaaSの脆弱な設定箇所や、想定リスクなどを可視化できる」(マクニカ)としている。
対応するセキュリティ基準は、以下の通りである。
- ISO/IEC 27001
- NIST SP800-53、NSIT CSF
- Cloud Security Alliance - Cloud Controls Matrix
- SOC2 TYPE2
- CIS
「SaaSからの機密データの情報流出といったインシデントの多くは、SaaS自体のセキュリティ上の欠陥によるものではなく、SaaSを利用する企業の管理/設定不備によるものだ。例えば、各事業部門が独自にSaaSを管理しているため、情報システム部門やセキュリティ部門で設定内容の可視化・把握ができていないケースがある。SaaSのアップデートに伴う機能追加やデフォルト値の変更に気づかず、自社が想定していない設定になっているケースもある」(同社)
