分散したチームや急速に進化するクラウドベースのテクノロジーなど、現代の仕事の状況が変化するにつれ、アクセス制御を維持することは、ますます困難な課題となっています。
ITコンプライアンス認証の取得と維持のプロセスは、この課題の完璧な縮図である。各規制の「適用範囲」として資産を特定し、指定する作業は、分散したワーカーと急速なSaaS導入という現代の状況において、劇的に手間のかかるものになっている。
SaaSツールの普及は、ワーカーの生産性を向上させる一方で、IT監査やコンプライアンスに関しては非常に複雑なものとなっています。
SOC 2、HIPAA、PCI DSSの準備や証拠の収集を任されたことがある人なら、このプロジェクトがどれほど大変に感じられるかわかるだろう。
SaaS乱立時代のITコンプライアンスへの取り組み
ITコンプライアンス規制の重要な要素には、どのシステムやアプリケーションが「対象範囲」(保護が必要な機密データの保管、処理、送信を意味する)であるかを評価し、定義することが含まれます。
組織は、対象範囲内のアプリケーションについて定期的にユーザー・アクセス・レビューを実施し、誰がまだアクセス権を保持しているかを判断し、継続的なアクセスが必要であることを確認し、そうでないユーザーからはアクセス権を削除する必要があります。
もちろん、SaaSファーストの世界でこのような認証を維持することの難しさは、世の中に何があるのかさえ知らなければ、各規制の適用範囲となるアプリケーションを定義できないことだ。
セキュリティチームやITチームは、従業員が何を使っているのか、どこに企業の機密データを保存しているのかを完全に把握していることはほとんどなく、ユーザーが新しいアプリケーションにサインアップするたびに、手作業で変更を管理することは、それだけでフルタイムの仕事になりかねない。
一方、SaaSの乱立は、もはや企業が無視できる問題ではない。
最近のサプライチェーン攻撃は、現代の攻撃対象がSaaS攻撃対象であるという事実を浮き彫りにしている。つまり、これらの認証に備える組織は、組織のSaaSスプロールとシャドーITを考慮する必要があるということだ。
ユーザー・アクセス審査を簡素化する秘訣は?自動化だ。
SaaSのディスカバリーはそれ自体が獣のようなものですが、ユーザー・アクセス・レビューには、かなりの量の面倒な手作業を必要とする他の側面もあります。例えば、アプリが使用中であることを確認した後も、どのユーザーがアクティブなアカウントを持っているかを追跡し、不要なユーザーのアクセスを削除するために、組織の誰がアプリを所有しているかを把握する必要があります。
ここでは、Nudge Securityを使ってユーザ・アクセス・レビューを自動化することで、監査準備を迅速に行う方法を紹介します。すでに知っているSaaSアプリと知らないアプリの両方のアクセスを発見し、レビューすることができます。
1.シャドーITを含む、貴社のクラウドおよびSaaS資産を発見します。
開発者が作成した不正なAWSアカウントであれ、一部のベンダーやクライアントが使用を主張している無許可のファイル共有アプリであれ、重要なデータが企業で管理され、IT部門が承認したアプリケーションの外部に流出することはよくあります。各部門が使用しているアプリについて質問したり、チャットログや請求明細を調べて手がかりを探したりすることもできますが、どの方法も持続可能で効果的ではありません。あなたの組織では、SaaSアプリケーションの範囲内かどうかを考える前に、管理されているSaaSアプリケーションと管理されていないSaaSアプリケーションの両方を定期的に発見するための計画が必要です。
Nudge Securityは、特許取得済みのSaaSディスカバリー方法を使用して、企業のITとセキュリティによって管理されていないアプリケーションを含む、組織で使用されているすべてのクラウドとSaaS資産を識別します。アプリケーションはタイプ別に分類され、ファースト・ユーザー、全ユーザー、セキュリティ・プログラムの詳細などの重要な情報がすべて指先で確認できるようになります。
ユーザーが新しいアプリケーションにサインアップすると、自動的にダッシュボードに表示され、新しいアプリケーションが導入されるとアラートを受け取ることができます。
2.どのアセットがスコープに入っているかを判断する。
例えば、SOC 2のアクセスレビューを自動化するためのナッジ・セキュリティのプレイブックは、どのクラウドとSaaSの資産があなたの組織の対象であるかを決定することから始まります。このプレイブックは、スマートなアプリケーション分類を使用して、インフラストラクチャアプリケーション、デブオプスアプリケーション、開発者ツール、セキュリティアプリケーションなどの優先順位の高いカテゴリを順を追って説明することで、対象範囲になる可能性が最も高いアプリケーションを特定するためのスタートを切ることができます。
Nudge Securityは、範囲として特定したアプリケーションを追跡し、将来のアクセスレビューを合理化するのに役立ちます。ユーザが新しいアプリを追加するたびに、定義したスコープを簡単に更新できます。
3.各アプリケーションにアクセスする必要があるユーザーを確認します。
ナッジセキュリティは、対象範囲として分類したアプリケーションごとに、組織内でアクティブなアカウントを持っているユーザのレビューを行います。その後、Slackや電子メールを通じて、どのアカウントがまだ必要かをユーザに確認するようナッジを自動化し、ユーザの回答を収集することができます。
4.技術的な連絡先をリストアップすることで、簡単にアクセスを削除できます。
企業のIT部門やセキュリティ部門が管理していないアプリケーションを使用しているチームを発見した場合、そのアプリケーションを使用しなくなったユーザーのアクセスを削除するにはどうすればよいでしょうか。チーム内の誰かが管理者である可能性が高いですが、効率的なシステムがなければ、その管理者ユーザーを探し出すのに多くの労力を必要とします。それをリストにあるすべてのアプリケーションに掛け合わせると、かなりの作業が待ち受けていることになる。
Nudge Securityは、必要なくなったユーザーのアクセス権を削除するための2つのオプションを提供する。既存のアクセス管理プロセスでうまくいっている場合は、ユーザーとアプリケーションのリストをダウンロードして自分で処理することができる。
そうでない場合は、ナッジを使用して、組織内の各アプリケーションの所有者にアクセス権を削除するように依頼することができます。
5.監査対応レポートの作成。
あなたがフラグを立てたアカウントが削除されたことを確認したら、正式にアクセスレビューを完了し、サマリーを見ることができます。また、アクセスレビューに含まれるアプリケーションと、アクセスを確認または削除したユーザーをまとめた印刷可能なレポートをダウンロードするオプションもあります。
このレポートを監査人と共有することで、コンプライアンス認証を維持するための反復可能なプロセスを導入していることを証明できます。
ナッジセキュリティでITコンプライアンスを簡素化する
まとめると、ナッジセキュリティーの自動化されたユーザーアクセスレビューのプレイブックは、次のようなことに役立ちます:
- 完全なディスカバリとスマートなアプリの分類から始めて、プロセスをスピードアップする。
- 各アプリケーションに関連付けられているユーザを簡単に特定し、継続的なアクセスが必要かどうかを確認する。
- IT内部または外部のアプリケーション技術所有者を関与させ、不要になったアカウントを削除します。
- ユーザ・アクセス・レビューの監査対応レポートを作成し、反復可能なプロセスを実証します。
Nudge Securityを使えば、ITオフボーディングの自動化、GenAIアカウントの発見、ベンダーのセキュリティレビューの迅速化も可能です。
無料トライアルを開始し、面倒なITガバナンスタスクの自動化を今すぐ始めましょう。
Nudge Securityがスポンサーとなり、執筆しました。
Comments