ベンダーが攻撃対象になった
2026年版に更新済み
10年間、セキュリティチームは一つの目標に集中してきました。攻撃者をネットワークに入れないこと。境界を守る。エンドポイントを保護する。アクセスを管理する。古いモデルは、攻撃者が組織を直接狙うという前提に基づいていました。
2024年のデータは、そのモデルが機能しなくなったことを示しています。SaaSの侵害は、Obsidian Securityの2025年SaaSセキュリティ脅威レポートによると、2024年に**300%**急増しました。攻撃者はもはや組織を直接狙いません。組織がレコードを預けているSaaSツールを狙うのです。
クラウドツールが攻撃対象となる場合、内部ネットワークが堅固でも意味がありません。顧客のレコード、従業員のドキュメント、機密コンテンツはツールのサーバーに保存されています。ツールの鍵でロックされており、ツールが侵害された時に露出します。
2024年のSaaS侵害の数字
2024年の侵害の総数はリスクの規模を示しています。
Conduentは2,590万件のレコードを露出させる侵害を受けました。Conduent は政府機関や大企業向けにビジネスプロセスのアウトソーシングを行っています。給付金、支払い、市民サービスを管理しています。影響を受けた2,590万人は、第三者が自分の情報を保持していることを知りませんでした。
NHS Digitalは900万人の患者に影響する侵害を受けました。患者のレコードがクラウドツールのサーバーを通じて露出しました。患者はその情報を医療提供者に提供しました。第三者のプラットフォームに情報が届いていたとは思いもよらなかったでしょう。
これらは孤立した事例ではありません。新たなパターンです。大規模な侵害は今や、ある組織を信頼しながら、知らなかった別の組織に個人情報を保持されていた数百万人に影響を与えています。このケースで法律がどのように責任を割り当てるかについては、GDPRコンプライアンス概要をご参照ください。
SaaS侵害が異なる理由
従来のネットワーク侵害は多くのステップを必要とします。攻撃者は境界を突破する必要があります。システム内を移動する必要があります。ドキュメントを抽出する必要があります。各ステップは検出のチャンスです。
SaaS侵害は異なる動き方をします。攻撃者がクラウドプラットフォームを侵害すると、そのプラットフォームを通じてコンテンツを送信したすべてのクライアントのレコードにアクセスできます。1回の侵害で、数十から数百のクライアントのドキュメントが一度に入手できます。
9分の侵害ウィンドウ — SaaSシステムにおける最初のアクセスからレコード窃取までの時間(Obsidian Securityのインシデント記録より)— はこのプロセスの速さを示しています。共有プラットフォーム内では、攻撃者が多くのクライアントのコンテンツを一度に発見します。その価値の集中が各攻撃を非常に効率的にします。
契約はこのギャップを埋めません。GDPRの第82条は、処理者が引き起こした侵害に対して共同責任を課しています。しかし、過失を証明するには数ヶ月かかります。その頃にはレコードはすでに消えています。ゼロ知識ツールがこの結果をどう変えるかは、セキュリティとコンプライアンスのページをご参照ください。
DPAはレコードを守らない
GDPRの第28条は、組織が「十分な保証」を提供する処理者のみを使用することを求めています。データ処理契約はその保証の書面による証拠です。
HIPAAのビジネスアソシエイト契約と同様に、DPAは法的な側面をカバーします。プロバイダーのサーバー上でドキュメントに何が起きるかはカバーしません。
完全にGDPR準拠のDPAを持つクラウドツールでも:
- プロバイダーが管理する鍵を使ったサーバーサイド暗号化で顧客レコードを保存する可能性があります
- 他の多くのクライアントが使用する共有システムで従業員情報を処理する可能性があります
- 合意された用途を超えてログやキャッシュコンテンツを保持する可能性があります
- 上記のすべてを露出させる侵害を受ける可能性があります
DPAは法的義務を設定します。露出に対する技術的な壁は作りません。攻撃者が9分でプラットフォームを侵害しても、DPAは速度を落としません。
第28条の義務についてわかりやすい説明は、GDPRグロッサリーをご参照ください。
300%急増が構造的である理由
300%の急増は、同時に働く2つの力を反映しています。
第一に、SaaSプラットフォーム内の機密情報の量が2024年に急増しました。より多くの組織がより多くの業務をクラウドツールに移行しました。より多くのドキュメントがサードパーティのサーバーに保存されました。コンテンツが多いほど、それらのサーバーを攻撃する理由が増えます。
第二に、攻撃者が適応しました。組織は今や顧客レコード、財務ログ、HR情報、法的コンテンツ、健康データをSaaSツールで送信しています。1つのプラットフォームを攻撃すると、多くのクライアントのレコードが手に入ります。ロジックは個々の組織を攻撃するより、プラットフォームを攻撃することを有利にします。
300%という数字は、一般的な犯罪の急増ではありません。攻撃の方向性の構造的変化を示しています。
ゼロ知識匿名化という解決策
解決策は1つの視点の転換から始まります。どんなプラットフォームも侵害される可能性がある — 2024年の記録がそれを証明している — なら、どのプラットフォームも顧客の個人情報を読める形で受け取るべきではありません。
アップロード前のゼロ知識匿名化は侵害リスクを根本から変えます。ゼロ知識処理されたコンテンツを保持するプラットフォームが攻撃された場合:
- 攻撃者は読める顧客識別子のない匿名化されたレコードにアクセスします
- 個人情報が露出していないため、対象者への通知は不要です
- GDPRの第82条に基づく共同責任調査は不要です
- 侵害から規制上のフォローアップは発生しません
攻撃はプラットフォームに当たります。顧客には届きません。顧客の個人情報は読める形でプラットフォームのサーバーに届いたことがありません。
これは理論ではありません。シンプルな事実です。読める形で送信されたものがないため、盗むレコードがないのです。FAQにはゼロ知識匿名化に関するよくある質問の回答があります。価格ページではこの保護がスケールでいくらかかるかを示しています。
300%の急増はリスク計算を変えます。セキュリティ体制と契約条件だけでサプライヤーを評価することは、サプライヤーが次のヘッドラインに登場しないことへの賭けです。ゼロ知識匿名化はその賭けを取り除きます。