2024年初め、Wing SecurityはSaaSセキュリティの状況に関する報告書「State of SaaS Security」を発表し、SaaS領域での新興脅威やベストプラクティスに関する驚くべき洞察を提供しました。
年の半ばに差し掛かる今、報告書からのいくつかのSaaS脅威予測が既に正確であることが証明されています。幸いなことに、SaaSセキュリティポストチャーマネジメント(SSPM)ソリューションは、これらの問題に対処するための緩和機能を優先し、セキュリティチームがこれらの課題に果敢に立ち向かうための必要なツールを提供しています。
本記事では、年初に行った予測を振り返り、これらの脅威が実際にどのように発生しているかを示し、将来的にそのような事例を防止するための実用的なヒントやベストプラクティスを紹介します。
また、今日のダイナミックなSaaS環境における侵害の頻度の増加という全体的なトレンドにも言及する価値があります。これにより、組織は重要な機能としてタイムリーな脅威アラートを要求しています。また、近日中に満たすべきコンプライアンス期限がある業界規制は、同様にタイムリーな違反報告を要求しています。これらの市場変化により、SaaSを利用するすべての組織にとって、簡単で迅速かつ正確な脅威インテリジェンス能力が特に重要となっています。それに加えて、以下で詳細に説明する特定の脅威タイプを理解する必要があります。
脅威予測1: シャドウAI# 通信プラットフォームの隠れたAIの使用# 2024年5月、主要な通信プラットフォームが、メッセージやファイルからユーザーデータを利用して機械学習モデルを構築するために使用していたことが明らかになりました。この実践は、組織が自社の機密情報の公開や誤用の可能性を懸念しました。ユーザーはこの実践について十分に通知されていないと感じ、オプトアウトプロセスが不便であると感じました。これらの懸念に対処するため、プラットフォームはデータ使用ポリシーを明確にし、オプトアウトを容易にしました。
なぜこれが重要か# SaaSアプリケーションでのAIの使用に関する透明性の不足は懸念されます。埋め込まれた生成AI機能を持つアプリケーションが8,500以上あり、トップ10のAIアプリケーションのうち6つがユーザーデータをトレーニングに利用しています。未承認のAI使用である「シャドウAI」の可能性はどこにでも存在します。
これらの日常的に使われるSaaSサービスは、組織に容易に導入され、利用規約はしばしば見落とされます。この行動は何千ものSaaSアプリが機密性の高い企業情報にアクセスし、それを元にAIモデルを訓練する可能性を開いています。最近の顧客データの機械学習利用に関する論争は、この脅威がどれだけ現実的であるかを示しています。
自動化されたSSPMを使用したシャドウAIとの戦い# 組織は潜在的なAI脅威に対するセキュリティを強化するためにいくつかの手順を踏む必要があります。まず、使用されているすべてのAIおよびAIパワードSaaSアプリケーションを発見し理解することによってAIの使用を制御しなおすことです。次に、リスキーまたは悪意のあるSaaSの導入を監視することによってアプリケーションの模倣を識別することが重要です。最後に、自動化された脅威対策ワークフローを提供するツールを利用することにより、AIの是正を自動化して特定された脅威に迅速に対処できます。
脅威予測2: サプライチェーン# 脅威アクターが人気のあるクラウドストレージ企業を標的に# 最近、クラウドベース
対ネット犯罪の最前線に立つ、世界最高水準のホワイトハッカー集団
Microsoft社やGoogle社などで活躍しているホワイトハッカー・エンジニアのコミュニティの中から国際認定を持ったサイバーセキュリティ専門家で結成されたのが、私たち「バイナリヤード」。
世界最高峰の技術力・豊富な実績をもったエンジニアチームが、お客様のシステムの脆弱性を的確に洗い出し、安心・安全のセキュリティ環境をご提案致します。