SSPM

SSPM（SaaS Security Posture Management）とは、企業が利用するSaaSアプリケーションのセキュリティ設定を継続的に監視・評価し、設定ミスやコンプライアンス違反を自動的に検出・修復するためのソリューションです。クラウドシフトが加速する現代では、Microsoft 365、Google Workspace、Salesforce、Slack、Zoomなど数十から数百のSaaSを同時に利用する企業が増加しており、各サービスのセキュリティ設定を個別に管理することは事実上不可能になっています。

SSPMは、各SaaSアプリケーションのAPIを通じてセキュリティ設定を収集し、ベストプラクティスや業界標準（CIS Benchmarks、SOC 2、GDPRなど）と照合することで、設定の逸脱を可視化します。例えば、多要素認証が無効化されているアカウント、過剰な権限が付与された共有リンク、外部ユーザーへの不適切なアクセス許可などを自動的に検出し、管理者にアラートを発行します。

SSPMが注目される背景には、SaaSの設定ミスがデータ漏洩の主要因となっている現状があります。SaaS-to-SaaS統合（サードパーティアプリ連携）の増加により、OAuth権限を通じて意図しないデータアクセスが発生するリスクも高まっています。SSPMはこうした統合リスクの可視化と制御も担い、SaaS環境全体のセキュリティポスチャー（態勢）を統合的に管理する中核的なソリューションとして位置づけられています。

SaaS設定ミス（Misconfiguration）の検出

SSPMの中核機能は、SaaSアプリケーションにおけるセキュリティ設定のミスコンフィギュレーションを自動的に検出することです。具体的には、パスワードポリシーの強度不足、MFA（多要素認証）の未適用ユーザー、外部共有の制限不備、監査ログの無効化、データ損失防止（DLP）ポリシーの未設定などを継続的にスキャンします。

SSPMツールは各SaaSプロバイダーが公開するAPIを利用して設定情報を収集するため、エージェントのインストールは不要です。検出された設定ミスは、リスクレベル（重大・高・中・低）に分類され、修正手順のガイダンスとともに管理者に提示されます。一部のSSPMソリューションでは、承認ワークフローを経て自動修復（Auto-Remediation）を実行する機能も備えています。

Microsoft 365 / Google Workspace / Salesforceのセキュリティ管理

企業で最も広く利用されるSaaSプラットフォームであるMicrosoft 365、Google Workspace、Salesforceは、SSPMの主要な監視対象です。Microsoft 365では、Azure ADの条件付きアクセスポリシー、Exchange Onlineのメール転送ルール、SharePointの外部共有設定、Teamsのゲストアクセス権限などが監視されます。

Google Workspaceでは、Googleドライブの共有設定、Gmail の外部転送ルール、管理者権限の付与状況、サードパーティアプリのOAuthスコープなどがチェックされます。Salesforceでは、プロファイルと権限セットの設定、APIアクセス制御、フィールドレベルセキュリティ、ログイン制限、セッション設定などが評価対象です。

SaaS-to-SaaS統合リスク

現代のSaaS環境では、サードパーティアプリケーションがOAuth認証を通じてコアSaaSにアクセスするSaaS-to-SaaS統合が急増しています。例えば、プロジェクト管理ツールがGoogleドライブのファイルにアクセスしたり、マーケティングツールがSalesforceの顧客データを読み取ったりするケースです。

これらの統合は業務効率を向上させる一方、過剰なOAuth権限の付与、未承認アプリの利用（シャドーIT）、サードパーティアプリのセキュリティ侵害によるサプライチェーン攻撃などのリスクをもたらします。SSPMは、すべてのSaaS-to-SaaS接続を可視化し、各接続に付与されたOAuthスコープを分析することで、過剰な権限や不審なアプリを検出します。

SSPM vs CASB：違いと補完関係

CASB（Cloud Access Security Broker）がネットワーク上のトラフィックを監視してSaaSの利用状況を制御するのに対し、SSPMはSaaSアプリケーションの設定そのものを評価・管理するという点で根本的に異なります。CASBはプロキシまたはAPIを通じてリアルタイムのデータフローを制御し、DLP、脅威防御、アクセス制御を提供します。

一方、SSPMはSaaS環境の「あるべき姿」を定義し、現在の設定状態がそこから逸脱していないかを継続的に評価します。両者は競合するものではなく、CASBが「データの流れ」を保護し、SSPMが「設定の正しさ」を保証するという補完関係にあります。包括的なSaaSセキュリティ戦略では、両方のソリューションを組み合わせて導入することが推奨されます。

コンプライアンスへの対応

SSPMは、SOC 2、ISO 27001、GDPR、HIPAA、PCI DSSなどの各種コンプライアンスフレームワークに対するSaaS設定の準拠状況を自動的に評価する機能を提供します。各フレームワークの要求事項をSaaS設定項目にマッピングし、準拠状況をダッシュボードで一元的に可視化することで、監査対応の工数を大幅に削減します。

また、設定変更の履歴を記録し、いつ・誰が・どの設定を変更したかを追跡するドリフト検知機能も備えており、コンプライアンス違反の早期発見と原因分析を支援します。

• 01
  すべてのSaaSアプリケーションの可視化とインベントリ管理：組織で利用しているすべてのSaaSアプリケーションを棚卸しし、シャドーITも含めた完全なインベントリを作成してください。SSPMツールを導入し、各SaaSのAPIを接続して設定情報の継続的な収集を開始することが第一歩です。
• 02
  セキュリティベースラインの定義と自動チェック：CIS Benchmarksや自社のセキュリティポリシーに基づいて、各SaaSアプリケーションのセキュリティ設定のベースラインを定義してください。SSPMを活用して設定の逸脱を自動的に検出し、リスクの高い設定ミスには即座にアラートを発行する運用体制を構築しましょう。
• 03
  SaaS-to-SaaS接続の管理とOAuth権限の最小化：サードパーティアプリケーションが保有するOAuth権限を定期的に棚卸しし、過剰な権限を持つアプリや使用されていないアプリの接続を削除してください。新規のSaaS-to-SaaS統合には承認ワークフローを設け、最小権限の原則を適用しましょう。
• 04
  MFA（多要素認証）の全ユーザー適用と特権アカウントの監視：すべてのSaaSアカウントに対してMFAを必須化し、特に管理者権限を持つアカウントについては強力な認証メカニズム（FIDOセキュリティキーなど）を導入してください。特権アカウントの作成・変更・利用状況をSSPMで継続的に監視しましょう。
• 05
  外部共有設定の制限と監視：Googleドライブ、SharePoint、Salesforceなどのデータ共有機能について、外部ユーザーへの共有を必要最小限に制限してください。「リンクを知っている全員」による共有の禁止、外部共有時の自動期限設定、機密データを含むファイルの外部共有の検知とブロックを実施しましょう。
• 06
  設定ドリフトの継続的な監視と自動修復の導入：セキュリティ設定の意図しない変更（ドリフト）を検出するためのリアルタイム監視を実施し、重大なドリフトに対しては自動修復機能を有効化してください。設定変更の履歴を保持し、変更を行った担当者と理由を追跡できる体制を整備しましょう。