ブライアン・ソビー氏はSaaSセキュリティのリーダー企業AppOmniのCTO兼共同創業者で、20年以上のセキュリティ経験を持つ。
今年の夏、一連のサイバー攻撃が企業運営の基盤を揺るがした。700社以上の企業が標的となり、その中には有名ブランドや、ZscalerやPalo Alto Networksといったサイバーセキュリティ企業も含まれていた。これらの企業が標的にされたのは、インフラの脆弱性が原因ではなく、攻撃者が最も信頼されているビジネスシステム、つまりSaaSの弱点を見つけたからだ。
FBIによると、有名なShinyHuntersサイバー犯罪ネットワークに関連する脅威グループUNC6040が、SalesforceとCRM環境に対して協調的な攻撃を仕掛けた。その手口は急速に標準となりつつあるものだ:ソーシャルエンジニアリング、サードパーティアプリの悪用、データ流出、そして一部のケースでは恐喝だ。さらに、別のサイバー犯罪グループUNC6395は、SalesforceとSalesloft Driftという別の営業支援プラットフォームとの統合から漏洩したOAuthトークンを使用して、Salesforce環境へのアクセスを獲得した。侵入後、彼らは機密ビジネスデータや他の重要システムの認証情報を盗み出した。
その戦術は画期的なものではなかった。異なっていて警戒すべき点は、成熟した防御の整った企業でさえも侵害する効果的な手法だったことだ。これはファイアウォールを突破したり、一連の境界防御を突破することではなく、現代のビジネスの機能方法を悪用することだった:迅速に動き、ユーザー主導で、SaaSアプリケーションの相互接続に依存している点だ。
UNC6040とUNC6395の両方からの攻撃は、増大するSaaSサプライチェーンの脅威の顕著な例だ。あなたの組織がSaaSに依存しているなら、これは警鐘だ:ルールが変わった。
我々は間違った方向を見ていた
多くのリーダーシップチームは、強力なアイデンティティとアクセス管理、従業員へのフィッシング訓練、エンドポイント保護、ベンダー信頼性といったチェックボックスが埋まっていることに安心感を覚える。しかし、AppOmniの2025年「SaaSセキュリティの現状」調査によると、組織の75%が昨年SaaS関連のインシデントを経験しており、これは2024年から33%増加している。さらに注目すべきは、影響を受けた組織の約90%が、インシデント発生前にSaaS環境への十分な可視性があると信じていたことだ。この制御の幻想こそ、攻撃者が賭けているものだ。
なぜか?セキュリティリスクはもはやネットワークの境界やクラウドアプリケーションへのアクセス経路にきれいに収まっているわけではない。それらはワークフロー、アプリ接続、そして毎日のビジネスを支えるアイデンティティの中に、SaaSアプリケーション内部に存在している—そして手遅れになるまで大部分は見えないのだ。
今日のSaaS攻撃が非常に異なる理由は何か?
これらの攻撃キャンペーンは、テクノロジーではなく信頼を操作することで成功した。UNC6040は社内ITを装って従業員に電話をかけ、Salesforceに接続するデータローダーアプリを装った悪意のあるアプリをインストールするよう指示し、それらのアプリを使って機密データにアクセスした。これは低技術で高影響、そして不気味なほどスケーラブルだった。
この新しい攻撃手法が明らかにしたことは:
• 攻撃対象はすべてのユーザーだ。ログイン権限を持つ従業員は誰でも、知らず知らずのうちに攻撃者に扉を開く可能性がある。
• SaaSの乱立は静かなリスクだ。新しい接続アプリや自動化されたワークフローが増えるたびに、組織は可視性と制御を失っていく。
• 従来のツールでは不十分だ。ファイアウォールは不正なSaaSアプリを捕捉できない。エンドポイントエージェントはサードパーティ統合を監視できず、セキュアサービスエッジ(SSE)ソリューションはSaaS環境内で起こることを保護できない。営業担当者が知らずに外部ツールにデータアクセスを許可した場合、ログファイルはデフォルトでは警告しない。
• アイデンティティ層が新たな境界だ。攻撃者は侵入しようとしているのではなく、適切に管理されていないアプリ権限や侵害されたOAuthトークン(アプリやAPIへのアクセスのための一時的なキー)を通じて招待されているのだ。
我々は転換点に達した。侵害を検出するのを待つ反応的な防御はもはや十分ではない。今日のビジネスの実際の進め方を反映した、予測的で保護的な戦略に移行する必要がある。
SaaSセキュリティの再考はトップから始まる
サイバーセキュリティはもはやバックオフィス機能だけではない。SalesforceやMicrosoft 365、Snowflakeのようなコアシステムが侵害されると、その影響は顧客の信頼から収益パフォーマンスまで、組織のあらゆる部分に及ぶ。
経営幹部はSaaSセキュリティを戦略的優先事項として再定義する取り組みを主導しなければならない。それは以下を意味する:
1. SaaSを重要なものとして扱う。クラウドインフラを監視せずに放置することはないだろう。SaaSエコシステムも同じレベルの精査に値する。
2. セキュリティチームとビジネスチームを同じテーブルに着かせる。今日のリスクの多くは、ビジネスユニットが独自にSaaSツールを採用し、それらをコアSaaSシステムに接続することから生じている。セキュリティはアプリのライフサイクルに組み込まれるべきであり、後付けではない。
3. アクセスだけでなく、信頼性も監査する。誰が何にアクセスできるかは方程式の半分に過ぎない。どのアプリが接続されているか、どのデータに触れているか、そしてそれらが環境内にまだ属しているかどうかも知る必要がある。
4. 一時的な評価ではなく、継続的な可視性に投資する。四半期ごとのレビューでは、今日の動的なSaaS環境に追いつくことはできない。監視はリアルタイムで先見的でなければならない。
5. 防御だけでなく、回復力も構築する。ミスは起こる。ユーザーはクリックする。しかし、階層化され、十分に自動化された対応を構築する組織は、被害を最小限に抑え、より迅速に回復できる。
賢明な組織が異なる対応をしていること
最高のパフォーマンスを発揮するセキュリティチームは、リスクを予測できる検出型から保護型のモデルへとシフトしている。彼らはクラウドやエンドポイントシステムから単に改造されたものではなく、SaaS専用に構築されたツールを導入している。そして、人間の監視を排除することなく、意味のある場所で自動化を行っている。
彼らは可視性だけに頼らず、それを強制力と組み合わせている。フィッシングのためだけのトレーニングではなく、アプリのインストール、ポップアップ許可、緊急に聞こえるIT要求のリスクについて従業員を教育している。
そしておそらく最も重要なことは、彼らが責任を持っていることだ。SaaSベンダーがすべてを安全に保つ責任があるという危険な誤解がある。真実は、SaaSベンダーはSaaSアプリのクラウドインフラを保護するが、その上に構築されたすべてについては、あなたのチームが責任を負うということだ。
侵害からブループリントへ
UNC6040とUNC6395からの攻撃は、警告的な物語以上のものだ—それらは未来への一瞥だ。それらは弱点がどこにあり、どれほど容易に悪用されうるかを正確に示している。しかし、それらは次に進むべき道筋も示している。
SaaSは現代ビジネスの命脈だ。それは予測的で統合され、実際の業務の進め方に合わせたセキュリティ戦略に値する。今日の脅威環境では、保護は検出よりもずっと前から始める必要がある。
