企業が利用するクラウドアプリケーションは平均1,000を超える一方、IT部門が把握しているのはわずか10%未満という現実がある。2025年8月に発生したSalesloft Drift事件では、OAuthトークンを悪用した攻撃により700以上の組織のSalesforce環境が侵害された。SaaSサプライチェーン攻撃が本格化する2026年、企業はこの構造的脆弱性にどう対峙すべきか。本稿では、シャドーSaaSの実態、OAuthトークンを起点とした新しい攻撃手法、そしてSSPM(SaaS Security Posture Management)を中核とした防衛戦略を検証する。

1,000アプリ時代の到来と可視化の限界

企業のSaaS利用は加速度的に拡大している。Cloud Security Alliance(CSA)が2025年に発表した調査によれば、企業は平均975の「未知の」クラウドサービスと108の「既知の」クラウドサービスを利用している。つまり、IT部門が把握しているSaaSアプリケーションは全体の約10%に過ぎない。

この「シャドーSaaS」問題は単なる管理上の課題ではない。Zluri社の統計によれば、サイバー攻撃の約半数(1 in 2)がシャドーITを起点としており、その修復コストは平均420万ドル以上に達する。さらに深刻なのは、60%の組織がシャドーITを脅威評価に含めていないという事実である。見えないものは守れない。

2025年には「シャドーAI」という新たな脅威も顕在化した。従業員が承認なく利用する生成AIツールは、データプライバシーとセキュリティの両面でリスクをもたらしている。IBMの調査によれば、シャドーAIに起因する侵害は追加コストとして約67万ドルを発生させ、侵害の平均コストを463万ドルにまで押し上げている。

Salesloft Drift事件が示したOAuth攻撃の破壊力

2025年8月、SaaSセキュリティの脆弱性を象徴する事件が発生した。脅威アクター「UNC6395」は、Salesloft社のチャットボット製品「Drift」のOAuthトークンを悪用し、700以上の組織のSalesforce環境に不正アクセスした。被害企業にはCloudflare、Palo Alto Networks、Zscalerといった大手セキュリティ企業も含まれていた。

Google Cloud(Mandiant)の調査によれば、攻撃のタイムラインは以下の通りである。2025年8月9日に初期偵察が開始され、8月13日に偵察範囲が拡大、8月17日に本格的なデータ窃取が実行された。攻撃者はSOQLクエリを用いてUsers、Accounts、Casesといった重要オブジェクトから、AWSキー、Snowflakeトークン、パスワードなどの機密情報を体系的に抽出した。

この事件の核心は、OAuthトークンがMFA(多要素認証)をバイパスできる点にある。正規のトークンを窃取すれば、ユーザー認証を経ずに直接APIアクセスが可能となる。Salesloft社とSalesforce社は8月20日に全アクティブトークンを失効させ、DriftアプリケーションはSalesforce AppExchangeから一時的に削除された。Mandiantは9月6日時点でインシデントの封じ込めを確認したが、影響を受けた企業の調査と復旧は数ヶ月を要した。

サードパーティ統合がもたらす構造的リスク

Salesloft Drift事件は氷山の一角に過ぎない。Palo Alto Networks Unit 42のレポートは、サードパーティサプライチェーンにおけるトークン管理の危険性を詳細に分析している。現代の企業環境では、SaaS間のOAuth接続、APIキー、アプリ連携が爆発的に増加しており、その信頼関係は複雑なウェブを形成している。

問題は「休眠統合」にもある。2022年にGitHubが開示した事例では、HerokuおよびTravis CI向けに発行されたOAuthトークンが侵害された。多くの組織がこれらの統合を実質的に使用していなかったにもかかわらず、OAuth認可は環境内に残存しており、攻撃者がプライベートリポジトリにアクセスする経路となった。

Valence Securityの調査(2025-2026年)は、46%の組織が非人間アイデンティティ(サービスアカウント、APIキーなど)の監視に苦慮しており、56%が過剰権限のAPIアクセスを懸念していることを明らかにしている。さらに、約半数の組織が全ユーザー・全アプリケーションに対して一貫したMFAおよびSSOを適用できていない。

2026年のSaaSセキュリティ ── SSPMの台頭と防衛戦略

Gartnerは、2026年までにデータ侵害の80%がSaaSアプリケーションの設定ミスに起因すると予測している。この予測を受け、SSPM(SaaS Security Posture Management)市場は急成長している。Frost & Sullivanの調査によれば、SSPM市場は2025年の約4.8億ドルから2030年には35億ドル規模に拡大し、CAGR 48.7%という驚異的な成長率を示すと予測されている。

SSPMは単なるツールではなく、SaaSセキュリティの三本柱を支える基盤である。第一に「ポスチャ管理」として、設定ミス・過剰権限・非準拠設定を継続的に検出・修正する。第二に「セキュアストレージ」として、OAuthトークンやAPIキーの安全な管理と定期的なローテーションを実現する。第三に「アクティブモニタリング」として、異常な権限昇格やデータ流出の兆候をリアルタイムで検知する。

北米がSSPM市場の最大シェアを占める一方、アジア太平洋地域はクラウドファースト戦略の加速により最も急成長している地域となっている。日本企業においても、SaaS利用の拡大に伴いSSPM導入の検討が急務となっている。

実践的な防衛フレームワーク

SaaSセキュリティを強化するための実践的アプローチを以下に示す。

1. 可視化の徹底
まず、シャドーSaaSの発見から始める。AI駆動のディスカバリツールを導入し、ネットワークトラフィック分析、CASBログ、IdPログを統合的に分析する。42%の組織が包括的なSaaS検出能力を欠いているという現状を認識し、投資優先度を上げるべきである。

2. OAuthトークンの棚卸しと権限最小化
全サードパーティ統合のOAuth認可を棚卸しし、使用していない統合は即座に削除する。残存する統合については、最小権限の原則に基づき権限を見直す。特にデータエクスポートや管理者権限を持つ統合は厳重に監視する。

3. 非人間アイデンティティの管理
サービスアカウント、APIキー、機械的アイデンティティを人間のアイデンティティと同等に管理する。有効期限の設定、定期的なローテーション、アクセスログの監視を組み合わせたライフサイクル管理を実装する。

4. ゼロトラストアーキテクチャの適用
SaaS環境にもゼロトラストの原則を適用する。継続的な認証、コンテキストベースのアクセス制御、マイクロセグメンテーションにより、侵害時の横展開(ラテラルムーブメント)を防止する。

5. インシデントレスポンス計画の更新
SaaSブリーチは従来のオンプレミス侵害とは異なる対応が必要である。APIを通じたデータ流出、トークンの悪用、信頼済みアプリを経由したラテラルムーブメントを想定したプレイブックを準備する。

FAQ

シャドーSaaSとは何ですか?

シャドーSaaSとは、IT部門の承認や管理を経ずに従業員が独自に利用しているクラウドアプリケーションを指す。調査によれば企業のSaaSアプリの約65%が未承認であり、セキュリティリスクやコンプライアンス違反の原因となっている。

OAuthトークン攻撃はなぜ危険なのですか?

OAuthトークンは正規のAPI認証として機能するため、窃取されるとMFA(多要素認証)をバイパスしてシステムにアクセスできる。2025年のSalesloft Drift事件では、この手法により700以上の組織が侵害された。

SSPMとは何ですか?

SSPM(SaaS Security Posture Management)は、SaaSアプリケーションのセキュリティ設定を継続的に監視・評価・修正するソリューションである。設定ミス検出、権限管理、コンプライアンス監視などを統合的に提供する。

シャドーAIとシャドーSaaSの違いは何ですか?

シャドーSaaSは未承認のSaaSアプリ全般を指すのに対し、シャドーAIは特に従業員が独自に利用する生成AIツール(ChatGPT、Claudeなど)を指す。シャドーAIは機密データの外部送信リスクがあり、追加のセキュリティ対策が必要とされる。

中小企業でもSSPMは必要ですか?

必要である。中小企業は大企業に比べセキュリティ人員が限られるため、自動化されたSSPMツールによる継続的監視が特に有効である。クラウドファーストな中小企業では、オンプレミスセキュリティよりSaaSセキュリティを優先すべきケースも多い。

参考文献