SaaSセキュリティ、予算増でも可視性・ID管理に大きな課題

CSAジャパンがレポート公開、生成AIや非人間IDの盲点を指摘

Cloud Security Alliance（CSA）ジャパンは2025年4月、『SaaSセキュリティの現状レポート 2025年～2026年の動向と洞察（日本語版）』を公開した。調査は2025年1月に、世界各地のITおよびセキュリティの専門家420名を対象として実施されたものである。
本レポートは、CSAジャパンがCSA本部の許可を得て翻訳・公開した日本語版であり、原文と日本語版の内容に相違があった場合には、原文が優先される。

本レポートでは、SaaSアプリケーションの普及に伴って顕在化するセキュリティ上の課題を浮き彫りにしており、可視性、アクセス制御、ガバナンスの不備がいまだ深刻な問題であることを示している。

---

86％がSaaSセキュリティを最優先事項と回答

レポートによれば、86％の組織がSaaSセキュリティを「高いまたは最も高い優先事項」と捉えており、76％が2025年の予算を増額、79％が自社のSaaSセキュリティプログラムに自信を持っていると回答した。

一方で、SaaSセキュリティ専任の担当者を持たない組織は39％にのぼり、投資の増加と実務体制のギャップが浮き彫りとなっている。

---

外部共有・シャドーITに起因するリスク

多くの組織が、機微データの外部共有に関して懸念を抱いており、63％が「過剰な外部共有がある」と回答。56％は、従業員が未認可のSaaSアプリケーションに機密データをアップロードしていると認識している。

原因の一つは、最小特権アクセスの徹底がされていないことである。41％の組織がこのポリシーを十分に適用できていないと答えた。

---

セキュリティ管理の分断、55％が「部門非関与でSaaS導入」

セキュリティ部門の関与がないまま、従業員が独自にSaaSを導入するケースは55％に上る。さらに、57％が「SaaSセキュリティ管理が断片化している」と報告しており、特に人事やマーケティングのような部門でその傾向が顕著である。

また、41％の組織が「SaaSセキュリティにおいて部門間の協力が難しい」と回答し、ガバナンスと責任の所在が曖昧なまま運用が進んでいる実態も明らかとなった。

---

IAM（人的ID管理）の課題、58％が「特権設定が不十分」

SaaSにおける人的IDの管理は、未だ大きな課題である。58％の組織が「特権レベルの適用に苦慮している」と回答。複数のアプリケーションをまたぐ一貫したアクセス管理が困難であり、56％が「横断的なユーザーアクセス管理に問題がある」としている。

ライフサイクル管理の自動化も進んでおらず、54％が「自動化できていない」と回答。これにより、孤立アカウントや権限の蓄積が発生し、不正アクセスの温床となっている。

---

非人間アイデンティティ（NHI）とSaaS統合の拡大

生成AIやSaaS間連携の増加により、NHI（API、サービスアカウント等）の存在感が増す一方で、その管理は不十分である。46％が「NHIの監視が課題」とし、56％は「APIが過剰なアクセス権限を持っている」との懸念を示している。

生成AIや自律型エージェントの導入により、従来のIAMの範疇では管理できない接続が増加しており、セキュリティの盲点を形成している。

---

SaaSセキュリティへの過信と現実のギャップ

79％が「自社のセキュリティ戦略に自信がある」と回答しているが、69％がベンダー提供のネイティブツール、43％がCASB、46％が手動監査に依存している。さらに、42％が包括的なSaaSディスカバリを実施しておらず、盲目的な運用が続いていることが示されている。

IdP（アイデンティティプロバイダー）やCASBといった汎用ツールの使用も目立つが、それだけではSaaS特有のリスクに対処できない可能性があると指摘されている。

---

結論：可視化と統合戦略が鍵

レポートは、SaaSセキュリティが多くの組織で最重要課題となっている一方で、成熟した統合戦略を持つ企業は依然として少数派であることを強調している。生成AIやAPI統合などの変化に即応できる体制の整備と、断片化されたセキュリティ戦略からの脱却が急務とされている。

CSA　【SaaSセキュリティの現状レポート　2025年～2026年の動向と洞察（日本語版）】はこちら

出典：日本クラウドセキュリティアライアンス　（CSAジャパン）　翻訳WGが「「SaaSセキュリティの現状レポート 2025年～2026年の動向と洞察」を公開しました！