2025年を迎える中、IT管理者は複雑化するセキュリティ環境に直面しており、その中でも依然として最大の脅威となっているのがSaaS環境におけるデータ侵害です。

現在、平均的な企業は275以上のSaaSアプリケーションを利用しており、攻撃対象領域はかつてない規模に拡大しています。データ侵害はSaaSセキュリティインシデント全体の約50〜52％を占め、SaaS関連の侵害1件あたりの平均コストはおよそ488万ドルに上ります。

主なポイント

• SaaS環境におけるデータ侵害は、2025年時点で最も財務的損害と評判の低下をもたらすセキュリティインシデントである。
• 平均的な企業のSaaS利用規模は2023年比で約60％増加し、可視性の欠如と攻撃対象領域の拡大を招いている。
• 継続的なアクセス監視やサードパーティ統合のレビューなどの予防的なSaaSセキュリティ対策によって、多くの一般的な侵害経路は防止可能である。

SaaSの急増とセキュリティの死角

SaaS採用は2025年にかつてない水準に達し、IT管理者が保護すべきデジタルエコシステムはますます複雑化しています。企業は数百に及ぶクラウドアプリケーション全体でデータを追跡・保護する上で大きな課題に直面しており、その多くはIT部門の直接的な管理の及ばないところに存在しています。

急増するSaaSアプリの利用

• 大企業の平均SaaS利用数は275種類に達し、一部では300種類を超える。中小企業の平均は約220種類で、2021年から約32％増加。
• SaaS支出のうちIT部門が集中管理している割合は約26％にとどまり、残りは部門や個人による調達。
• クラウドライセンスの約53％が非活用のまま。
• 最大76％の従業員が未承認のSaaSアプリを利用。
• SaaSは業務用ソフトウェア支出全体の約85％を占め、パブリッククラウドサービスはIT予算の約45％を占める。

よくある見落とし

• 認証の脆弱性が最も一般的なセキュリティの死角であり、63％の組織がすべてのSaaSプロバイダーにおいて強固なMFAを実装していない。SSOは有効だが、適切に保護されない場合は単一障害点となり得る。
• データアクセス制御が十分に細分化されておらず、58％のIT管理者がSaaS全体で権限設定が過剰であると回答。サードパーティアプリ統合がこの問題を悪化させており、71％の組織がSaaSアプリ間のAPI接続を定期的に監査していない。
• オフボーディング手続きにも重大な欠陥があり、従業員が退職した後もSaaSアプリへのアクセスが数日から数週間残るケースが多い。最近の調査では、44％の組織が元従業員アカウントを通じたデータ漏えいを経験している。

なぜデータ侵害がIT管理者の最大懸念なのか

データ侵害は2025年、これまでにない財務的および評判面での損害をもたらす主要なセキュリティ脅威として浮上しています。拡大するSaaSエコシステムは、サイバー犯罪者に新たな脆弱性を提供し、その攻撃はますます高度化しています。

SaaS関連データ侵害のコストと頻度

• 世界平均のデータ侵害コストは2024年時点で488万ドルに達し、2025年には500万ドルを超える見込み。
• 米国での平均は940万ドル。
• 検知までに平均195日、封じ込めまでに約65日を要する。
• 組織は年間平均3〜4件のSaaSインシデントを経験し、その約40％が重大なデータ流出を伴う。
• SMBの68％が過去12か月以内にSaaS関連のセキュリティインシデントを経験。
• 最も脆弱な業種は医療（1件あたり約980万ドル、2025年には1,200万ドル超）、次いで金融サービス、教育。

ビジネスへの影響

SaaS関連のデータ侵害による影響は、直接的な財務損失を超えて広がります。強化されたデータ保護規制の下、1件あたり平均280万ドルの罰則が発生しています。

顧客信頼の喪失も大きなコスト要因です。ハーバード・ビジネス・レビューの最近の調査によると、消費者の76％がデータ侵害を経験した企業との取引を停止すると回答しており、2023年の58％から増加しています。

業務面での混乱も深刻で、重大なSaaS関連侵害後の平均業務中断期間は19日間、復旧には約2,800時間のIT工数が必要です。さらに、過去1年間でCISOの23％、CIOの11％が侵害後に職を失っており、データセキュリティは経営課題としての重要性を一層増しています。

‍

注視すべきSaaSデータ侵害経路

2025年にITセキュリティ環境が発展するにつれ、SaaS環境を侵害しようとする悪意のある攻撃者の主な標的として、いくつかの重大な脆弱性が浮上しています。企業の機密データを保護するには、これらのベクトルに早急に対処し、積極的な緩和戦略を立てる必要があります。

不正ユーザーアクセス

アカウント乗っ取り（ATO）は依然として一般的な侵害経路であり、クラウド環境での侵害の50％以上に盗まれた認証情報が関与しています。攻撃者は高度なフィッシングキャンペーンや、標的の人脈・業務内容を調べたうえで作成するパーソナライズされたメッセージを駆使して認証情報を奪取します。

こうして侵入した攻撃者は、平均24〜28日間検知されずに潜伏します。防御策としては、UBAによる異常ログイン検出、地理的異常や非典型的なアクセス行動の監視、そして従業員への定期的なセキュリティ教育が有効です。

データの過剰共有や権限過多のサードパーティ連携

多くの統合は過剰または未使用の権限で稼働しており、OAuthトークンの悪用によって正規の第三者アプリからデータが流出するケースが増えています。これらは通常の資格情報窃取よりも発見が難しい傾向があります。

定期的な連携監査、不要な接続の削除、最小権限の適用、そしてDLPによる異常なデータ移動の監視が推奨されます。

パスワード管理不備とMFA未導入

依然として資格情報の窃取や総当たり攻撃は主要な侵害原因であり、最近の調査では最大60％の事例がこれに起因しています。AIを活用した高度なクレデンシャルスタッフィング攻撃も増加しています。

MFAは70〜75％の組織で導入されていますが、未導入の領域や回避攻撃（SMS傍受、プッシュ通知疲弊攻撃、高度なフィッシングキットによるコード窃取）が課題です。

パスワードマネージャーやSSOの導入、ハードウェアキーや認証アプリによるMFA、資格情報の定期更新が推奨されます。

アプリのセキュリティ設定ミス

セキュリティ設定ミスはSaaS関連侵害の急増要因であり、過剰なファイル共有権限、パブリックリンク、過剰なゲストアクセス、監査ログ無効化などが含まれます。設定のずれ（構成のずれ）はユーザーの変更やアプリの更新によって発生します。

標準設定テンプレート、自動コンプライアンススキャン、設定変更時の即時通知が有効な対策です。

‍

JosysがITチームのデータ侵害防止を支援する方法

Josysは、データ侵害につながる重大な脆弱性に対応するため、プロアクティブな監視機能と自動化されたセキュリティ対策を組み合わせた包括的なSaaS管理プラットフォームを提供します。これにより、組織の機密データを多層的に保護します。

中央集約された可視性

Josysは、組織全体で稼働中のすべてのSaaSアプリケーションを一元管理できるダッシュボードを提供します。この「シングルペインオブグラス」アプローチにより、ITの監視をすり抜けて存在していたシャドーITを検出します。

プラットフォームはユーザーアクティビティやアプリ利用状況を継続的に監視し、異常なアクセスパターンが発生した場合にはリアルタイムで管理者に通知します。

また、ライセンスの利用状況を追跡し、セキュリティ上の脆弱性となる非アクティブアカウントを特定します。検出エンジンは、公式経路外で導入されたクラウドサービスも自動的にカタログ化します。

この包括的な可視性により、データの保存場所やアクセス経路を正確に把握し、攻撃対象領域を大幅に削減できます。

自動化されたオフボーディング

Josysは、従業員の退職時に発生するセキュリティリスクを、効率的かつ安全なプロセスへと変えます。プラットフォームは、退職者の全アプリケーションへのアクセス権をワンクリックで一括削除できます。

自動化されたワークフローにより、手動での見落としを防ぎ、役職・部門・権限レベルに応じたカスタムシーケンスを適用できます。

さらに、オフボーディング漏れによって残存していた「孤立アカウント」を検出し、長期間放置されがちな不要な資格情報による不正アクセスを防止します。

アクセス制御

Josysはゼロトラストセキュリティの原則に沿った強固なID・アクセス管理機能を実装しています。ロールベースアクセス制御（RBAC）により、データ露出を最小限に抑えつつ、場所・デバイス・アクセス時間といったコンテキストに基づくアクセス制限を設定できます。

MFAの適用もサポートし、定期的なアクセス権レビューを促して、権限が適切かどうかを確認できます。

主な機能：

• 役職変更に応じた動的権限調整
• 自動化されたアクセス認証キャンペーン
• 既存のIDプロバイダーとの統合
• 異常アクセス検知とアラート通知

インテグレーション管理

Josysは、SaaSアプリ間のサードパーティ統合やAPI接続を包括的に監視します。アプリ間のデータフローを可視化し、潜在的な露出ポイントを特定します。

新規統合リクエストには承認ワークフローを設定し、データ感度や相手アプリのセキュリティ状況に基づく自動リスク評価を実施します。

APIの権限やスコープを継続的に監視し、過剰なアクセス権付与を防ぎます。また、全統合の完全なインベントリを保持し、データガバナンスポリシーの一貫した適用を可能にします。

監査ログとレポート

Josysは、SaaS環境全体の詳細なアクティビティログを取得し、セキュリティ調査やコンプライアンス対応を支援します。

コンプライアンスダッシュボードは、収集したデータをGDPR、HIPAA、SOC 2などの規制枠組みにマッピングし、監査準備と継続的な遵守を簡易化します。

レポート例：

• アクセス異常検出
• 認証失敗分析
• 権限変更の追跡
• 統合アクティビティ監視
• ライセンス利用状況とセキュリティ影響分析

IT管理者のためのアクションプラン

IT管理者は、SaaS環境におけるデータ侵害リスクを軽減するため、体系的な評価・ガバナンス・自動化を組み合わせた予防戦略を実行する必要があります。

SaaSセキュリティ監査の実施

まず、組織で現在使用されている全SaaSアプリケーションの完全なインベントリを作成します。多くの組織は、実際にはIT部門が把握している数の3〜4倍のアプリを利用していることが判明します。

各アプリについて、次の基準で評価します：

• MFAの実装状況
• データ暗号化（転送中・保存中）
• APIセキュリティ制御
• ベンダーのセキュリティ慣行や侵害履歴

この監査は四半期ごとに実施し、SaaS環境や脅威動向の変化に対応します。

シャドーITと冗長アプリの特定

部門長やチームリーダーと連携し、未承認アプリの利用を洗い出します。クレジットカード明細やネットワークトラフィックを分析し、未知のSaaS契約を特定します。重複機能を持つアプリはセキュリティ上のリスクとコストの両面で削減対象です。

ユーザーライフサイクル管理の自動化

HRシステムと連携したID管理ソリューションを導入し、従業員の入退社や異動に伴うアクセス権限の自動付与・削除を実施します。特権アカウントについては追加のレビューを行います。

SaaS管理プラットフォームの導入

JosysのようなSaaS管理プラットフォームを導入し、リアルタイムのアプリインベントリ管理、ユーザーアクセス追跡、セキュリティ設定監視を一元化します。未使用ライセンスや契約重複を排除し、コスト最適化とリスク低減を同時に実現します。

結論

データ侵害はもはやIT部門だけの問題ではなく、組織全体の健全性と評判を脅かす重大な経営リスクです。SaaS利用の拡大に伴い、セキュリティ・アクセス・コンプライアンスの管理はますます複雑化しています。

しかし、適切なツールと可視性を確保すれば、この課題を競争優位に変えることができます。Josysは、SaaS環境の発見、アクセス管理、コンプライアンス監視を統合し、よりスマートで安全かつ戦略的なSaaS活用を可能にします。

‍