狙われたTwilio、Okta〜SaaSベンダーに迫る脅威が企業の新たなセキュリティリスクに

SaaS利用が増えたことで、新たなリスクが顕在化した。Twilio、Oktaを狙ったハッキング事件を受けてセキュリティ専門家らは、新たな対策が必要だと警鐘を鳴らす。

[Roberto Torres，CIO Dive]

　Axoniusのデータによると（注1）、シニアレベルのIT意思決定者の3分の2が「SaaSアプリケーション利用の増加によって組織がより複雑になり、セキュリティリスクが高まっている」と回答している。調査は2022年上半期に、米国、英国、欧州のリーダー500人を対象に調査したものだ。

　時間とリソースが限られること、経営陣が他の施策に注力するよう圧力をかけていること、そして人材が不足していることが、セキュリティの優先順位が下がっている主な理由であると回答者は述べている。

　回答者の約4分の3が「自社のアプリケーションの半分以上がSaaSベースのものである」と回答しており、企業のSaaSアプリケーションへの依存が続いていることを示している。回答者の約3分の2は、「SaaSアプリケーションへの支出が年々増加している」と答えている。

脅威対策のシナリオに「SaaSリスク」を盛り込む必要性

　企業の重要なプロセスやデータは、かつてないほどデジタル領域で取り扱われている。

　攻撃者はこの変化に乗じて、テクノロジー企業に高度な攻撃を仕掛け、ビジネスツールを危険にさらし、より多くの組織にアクセスしようとしている。

　2022年8月初め、攻撃者は通信会社「Twilio」への侵入に成功し、顧客データにアクセスし、その後ソフトウェアメーカー「Okta」への侵入に利用した。

　AppSecEngineerの最高研究責任者兼創設者のアバイ・バルガブ（Abhay Bhargav）氏は、「攻撃者は、Twilioの顧客ベースのように、大規模な下流エコシステムを持つターゲットを狙っている」と言う。

　バルガブ氏は電子メールで次のように述べている。

原文へのリンク