クラウドセキュリティ
SaaS(Software as a Service)
別称: クラウド型ソフトウェア, オンデマンドソフトウェア
定義
ベンダーがアプリケーションを運用し、顧客がサブスクリプション形式でインターネット経由で利用するクラウド提供モデル。
SaaS はクラウドサービスモデルの一つで、アプリケーション・プラットフォーム・インフラの運用をベンダーが担い、顧客はブラウザや API からソフトウェアを利用するだけです。パッチ適用、スケーリング、可用性、セキュリティの大部分はベンダー側が責任を負う一方、データ・ID・構成・連携の管理は顧客の責任として残ります。典型的なリスクとして、アカウント乗っ取り、OAuth トークンの悪用、過剰権限を持つサードパーティアプリ、共有リンクからの情報漏えい、設定ドリフトなどが挙げられます。代表的な対策は、MFA 付き SSO、条件付きアクセス、SSPM、CASB によるトラフィック検査、DLP ポリシーなどで、明確な契約上の責任分界に基づいて運用されます。
例
- Microsoft 365、Google Workspace、Salesforce など。
- Slack や Zoom などのコラボレーション SaaS。
関連用語
IaaS(Infrastructure as a Service)
クラウド事業者が仮想化された計算・ストレージ・ネットワークを提供し、OS・ミドルウェア・アプリケーションは顧客が管理するクラウドサービスモデル。
PaaS(Platform as a Service)
ランタイム・ミドルウェア・OS・インフラを事業者が管理し、顧客はアプリケーションコードとデータに集中するクラウドモデル。
責任共有モデル
クラウド事業者(クラウドそのもののセキュリティ)と顧客(クラウド上のセキュリティ)で責務を分担する、クラウドセキュリティの基本枠組み。
CASB(クラウドアクセスセキュリティブローカー)
利用者とクラウド/SaaS アプリケーションの間に位置し、可視化・データ保護・脅威対策を実施するポリシー適用点。
SSPM(SaaS セキュリティポスチャー管理)
SaaS の設定・ID・連携を継続的に監視し、構成ミスやリスクのある挙動を検出するためのツールカテゴリ。
クラウドセキュリティ
パブリック・プライベート・ハイブリッドクラウド環境に置かれたデータ・アプリケーション・インフラを保護するための、ポリシー・統制・技術の総体。