SSPM 【SaaS Security Posture Management】

近年、企業や官公庁などでは外部の事業者が運用するSaaS（Software-as-a-Service）型のクラウドサービスと契約して業務に導入し、自社のデータを事業者側のシステムに預ける形で運用する機会が増えている。

しかし、不適切な設定により機密データが公開状態に置かれたり、アカウント管理に問題があり一般従業員に過剰な管理権限が与えられてしまうといった事象が発生することがある。SaaSはインターネットからアクセス可能なため、設定の不備は即座に攻撃者に対する隙に繋がってしまう。

SSPMとは

SSPMはこうした状況に対処し、利用しているSaaSのセキュリティ設定を定期的に、あるいは設定変更時などにチェックし、セキュリティ上のリスクに繋がる項目が無いかを調べる。様々なSaaSを横断的に管理し、情報を集約して一元的に監視・管理できるようにする。

また、SaaS上でのログイン試行失敗などの不信な挙動、管理権限などの過剰な付与、退職者のアカウントが残っているといった不適切な状態の放置を検知して管理者に警告する。現在のSaaS運用状態のリスク評価や、各種の規約や法令の遵守（コンプライアンス）状況の評価などを行うシステムもある。

CSPMとの違い

なお、似たシステムに「CSPM」（Cloud Security Posture Management）があるが、これはIaaS型やPaaS型のクラウドサービスの設定状況を評価対象とし、セキュリティ上のリスクを軽減するツールである。SSPMはアプリケーションまで事業者が提供するSaaS型を対象とする点が異なる。

関連用語

アカウント

【account】

ダウンロード

【download】

ソリューション

【solution】

アプリケーションソフト

【application software】

情報セキュリティポリシー

【information security policy】

アクセス

【access】

サイバー攻撃

【cyberattack】

脆弱性

【vulnerability】

インシデント

【incident】

アクセス権

【access right】

SaaS

【Software as a Service】

PaaS

【Platform as a Service】

IaaS

【Infrastructure as a Service】

ツール

【tool】

データ

【data】

セキュリティ

【security】

クラウド

【cloud】

クラウドサービス

【cloud service】

コンプライアンス

【compliance】

リスク

【risk】