SaaS時代のセキュリティ実務:最初に直すのは“権限”
3-1. SaaSセキュリティの原則
境界はネットワークからIDへ移りました。
だからこそ最初に整えるのはファイアウォールではなくアカウントと権限です。
原則は三つだけです。
全員に多要素認証、権限は最小、証跡は必ず残す。
この三つができていれば、たとえ侵入されても被害を小さくできます。
3-2. アカウントライフサイクルの設計
入社から異動、退職までの一連の流れをJoiner Mover Leaverとして定義します。
理想は人事システムの発令をトリガーに自動プロビジョニングと自動ディプロビジョニングを行うこと。
難しい場合でも、発令のメール一通で次を当日中に実施できる運用を整えます。
– 新規入社の発行手順と期日を明文化
– 異動時の権限引き継ぎと不要権限の回収
– 退職時の即時無効化と所有権の移管、二要素の失効、APIトークンの廃止
– 共有アカウントの原則廃止、やむを得ない場合は責任者を紐づけて監査ログを有効化
サービスアカウントは人に紐づけず、専用の命名規則と保管場所を定義。
発行先と有効期限を台帳管理し、定期的に棚卸します。
3-3. 権限設計と役割ベースアクセス制御
個人に直接権限を付けると運用が破綻します。
役割ロールに権限を付け、ユーザーはロールに参加する方式に統一しましょう。
– 部門ロールと横断ロールを分ける 例 営業 標準 権限 と 経理 支払 承認
– 職務分掌を守る 例 請求作成と支払承認を同一ロールに入れない
– 管理者は二段階 例 日常運用の管理ロールと緊急時のブレークグラスロールを分離し保管方法を分ける
– 一時的昇格を標準化 Just In Time Elevation で期限付き付与を使う
ロール命名は目的 誰 用途の順で統一し、例として「sales standard read」「accounting payment approver」を推奨。
削除ミスを避けるため、ロールには説明文とオーナーを必ず設定します。
3-4. MFAとSSOの標準化
最短で効果を出すならアイデンティティプロバイダに統合し、SSOでログインを一元化します。
ポイントは次の通りです。
– 全ユーザー必須化 ワンタイムパスコードよりFIDO2 パスキーなどフィッシング耐性の高い要素を優先
– 代替手段を用意 バックアップコード 二次デバイス 管理者による一時コード発行の運用
– 旧式プロトコルの無効化 IMAP POP SMTP AUTH などレガシー認証は段階的に停止
– 感度設定 重要操作時は再認証 支払処理 設定変更 ダウンロード量が閾値超過など
3-5. 設定ベースラインの策定
SaaSは設定で安全度が決まるため、サービス横断で共通のベースラインを作ります。
– 共有の既定値は社外不可 期限付き共有のみ許可 透かしとダウンロード禁止を併用
– 外部コラボはドメイン許可リストで制御 例 主要取引先のみ許可
– セッション寿命とアイドルタイムアウトを短縮 重要操作は都度再認証
– OAuth アプリの審査 組織で許可したアプリ以外は同意不可に設定し、既存の同意は棚卸
– リンク共有は組織内限定が既定 パブリックリンクは管理者承認制
– 大容量ダウンロードや大量削除にしきい値アラートを設定
3-6. ログと監査の実務
ログは存在させるだけでは意味がないため、見る前提で整えます。
– 主要SaaSの監査ログを最低90日保持 可能なら180日以上
– 見るイベントを定義 メール転送ルール作成 短時間の多拠点ログイン 失敗によるロックアウト APIトークン発行 管理権限の追加 共有の外部化 など
– 宛先を決める 週次は情シス 月次は経営向けダイジェスト 四半期は監査レポート
– 自動通知を設定 セキュリティチャンネルに流し 対応担当と期日を記録
– 監査可能な形式でエクスポートし バックアップと同様に保全
3-7. シャドーITと拡張機能の統制
利便性の高いSaaSやブラウザ拡張は仕事を加速させる一方で、見えないデータ流出の温床にもなります。
– アプリ許可制 使ってよいアプリカタログを社内公開 申請は1ページで完結
– OAuth 権限の棚卸 高権限のアプリは用途とオーナーを可視化し 更新が止まったアプリは撤去
– 拡張機能の管理 収集する権限の大きいものはブロック 署名済みのみ許可
– CASB ライトの考え DNSやセキュアWebゲートウェイで不審なアップロードや共有を検知
3-8. 退職と異動のチェックリスト
– アカウントの即時無効化とサインアウト 強制トークン失効を実施
– 二要素認証の解除 バックアップコードの破棄 セキュリティキーの回収
– ストレージとメールの所有権移管 共有リンクの自動失効を確認
– 個人発行のAPIキーやアプリ連携を停止 台帳に反映
– 端末の初期化と返却 監査ログで最終同期を確認
3-9. 30日実装計画
Week1 現状把握 台帳作成 MFA未設定者リスト化 レガシー認証の使用状況を調査
Week2 MFA必須化の展開 ガイド配布 設定会開催 主要SaaSの共有既定を社外不可に変更
Week3 RBAC導入の第一弾 主要三サービスのロール定義と付け替え OAuthの高権限アプリ棚卸
Week4 ログ監視の定着 週次ダイジェストと月次レポートの雛形作成 退職時ワークフローの自動化着手
3-10. 失敗しない運用のコツ
– 言い換え セキュリティ強化ではなく業務継続の保険と伝える
– 小さく早く 一気に全SaaSを触らず 影響の大きい三つから始める
– 成功体験の共有 MFA未設定者ゼロ達成などの小さな達成を社内で見える化
– 例外管理 例外は期限と責任者を必須にし 放置しない仕組みを持つ
— SaaSは設定と運用の質がすべてです。
IDを守り 権限を絞り 記録を残す。
この繰り返しが最短距離で組織を強くします。
📩 あなたの状況に合わせた具体的なアドバイスが欲しい方は、LINEで相談するから気軽にご相談ください。