ベンダーが攻撃対象になった
10年間、企業のセキュリティチームは周辺防御に注力してきました:ネットワークを保護し、エンドポイントを守り、内部システムへのアクセスを制御する。脅威モデルは、攻撃者が組織に直接侵入しようとすることを前提としていました。
2024年のSaaS侵害データは、このモデルが時代遅れであることを示しています。Obsidian Securityの2025年SaaSセキュリティ脅威レポートによると、SaaS侵害は2024年に**300%**急増しました。攻撃者はもはや組織を直接ターゲットにしていません — 彼らはその組織がデータを信頼しているSaaSベンダーをターゲットにしています。
ベンダーが攻撃対象である場合、自社のネットワークが安全であることは無関係です。あなたがそのベンダーを通じて処理した顧客データ、従業員記録、機密ビジネス情報は、彼らのインフラストラクチャ上にあり、彼らのキーでアクセス可能であり、彼らのシステムが侵害されたときに露出します。
2024年のSaaS侵害数
2024年のSaaS侵害の規模は、露出を示しています:
Conduentは2590万件の記録が公開される侵害を経験しました。Conduentは、政府機関や大企業にビジネスプロセスアウトソーシングサービスを提供しています — 福利厚生管理、支払い処理、市民サービスポータルを含みます。2590万件の記録には、政府サービスとやり取りした個人が含まれており、彼らの情報が第三者のベンダーによって保持されていることを知りませんでした。
NHSデジタルは900万人の患者に影響を与える侵害を経験しました。NHSの侵害は、SaaSベンダーのインフラストラクチャを通じて処理された患者データを公開しました — 患者が医療提供者に提供した臨床情報であり、第三者プラットフォームに送信されるとは思っていませんでした。
これらは例外ではありません。彼らは、信頼してデータを提供した組織から、知らないうちにベンダーに渡された数百万の個人に影響を与える新しい通常を示しています。
SaaS侵害が構造的に異なる理由
従来のネットワーク侵害は、攻撃者が組織の周辺を突破し、内部システムをナビゲートし、データを持ち出す必要があります — 複数の検出機会がある多段階プロセスです。
SaaS侵害は異なる方法で運営されます。SaaSベンダーを侵害した攻撃者は、そのベンダーを通じて情報を処理したすべての顧客のデータにアクセスします。単一の侵害で、数十または数百の企業クライアントの顧客記録が同時に得られます。
9分の侵害ウィンドウ — SaaS環境における初期アクセスとデータ侵害の間の時間、Obsidian Securityのインシデントレスポンスデータによる — は、この構造的な違いを反映しています。ベンダーのインフラストラクチャに侵入すると、攻撃者は共有環境に保存された複数の組織のデータに遭遇します。攻撃対象は価値を集中させます。
GDPRに準拠したデータ処理契約をSaaSベンダーと締結した組織にとって、侵害はコンプライアンス責任を排除しません。GDPR第82条は、GDPRの義務に違反した結果としての侵害に対してデータ処理者に共同責任を課します。しかし、共同責任には、ベンダーが非準拠であることを証明する必要があります — これはデータがすでに脅威アクターの手にある間に数ヶ月かかる複雑な調査です。
DPAはデータを保護しない
GDPR第28条は、組織が「十分な保証」を提供する処理者のみを使用することを要求します。データ処理契約は、その保証の契約上の証拠です。
HIPAAのBAAのように、DPAは契約関係に関するものです。それは、ベンダーのインフラストラクチャ上であなたのデータに何が起こるかという技術的現実には対処していません。
GDPRに準拠したDPAの下で運営されるSaaSベンダーは、まだ以下のことを行う可能性があります:
- ベンダーが制御するキーを使用してサーバー側暗号化で顧客データを保存する
- 他の顧客と共有されるマルチテナント環境で従業員の情報を処理する
- あなたの契約で指定された目的を超えてデータログ、処理記録、キャッシュされたコンテンツを保持する
- 上記すべてを露出させる方法でインフラストラクチャが侵害される
DPAは義務を生み出します。それはデータ露出に対する技術的障壁を生み出しません。攻撃者が9分でベンダーを侵害する場合、DPAは彼らの動きを遅くしません。
300%の急増は選択効果
SaaS侵害の300%の急増は、同時に進行する2つのトレンドを反映しています。
まず、SaaSプラットフォームのデータの絶対量は2024年に大幅に増加しました。より多くの組織がより多くのプロセスをクラウドベースのベンダーに移行するにつれて、ベンダー環境にあるデータは比例して増加しました。ベンダーのインフラストラクチャ上のデータが増えることで、攻撃者がベンダーのインフラストラクチャをターゲットにするインセンティブが増加します。
次に、攻撃者は価値の集中に合わせて手法を適応させました。組織は、これまで以上に多くのSaaSベンダーを通じてより多くの機密データを処理しています — 顧客記録、金融取引、人事データ、法的文書、医療情報。SaaSベンダーは、高価値のターゲットとなり、1つのベンダーを侵害することで多くの組織のデータが得られます。
300%の数字は、攻撃の向けられる構造的な変化を示しており、単なる一般的な犯罪活動の増加ではありません。
ゼロ知識アーキテクチャによるベンダーリスクの軽減
ゼロ知識アーキテクチャが要求する概念的な変化は簡単です:もしあなたのベンダーがあなたのデータを安全に保持することができない場合 — 特定の失敗によるのではなく、どのベンダーも侵害される可能性があるため — あなたのデータは識別可能な形でベンダーに到達すべきではありません。
SaaSベンダーへの送信前のゼロ知識匿名化は、侵害の露出を根本的に変えます。ゼロ知識処理されたデータを使用するベンダーが侵害された場合:
- 攻撃者は回復可能な顧客識別子のない匿名化された記録にアクセスします
- 個人データが露出していないため、データ主体通知は必要ありません
- GDPR第82条の共同責任調査は必要ありません
- 侵害からの規制執行調査は発生しません
侵害はベンダーに影響を与えます。あなたの顧客のデータには影響を与えません。なぜなら、あなたの顧客のデータは回復可能な形でベンダーのサーバーに存在しなかったからです。
SaaS侵害の300%の急増は、ベンダーリスクの計算を変えます。セキュリティの姿勢と契約上のコミットメントのみでベンダーを評価する組織は、次の侵害統計にベンダーが現れないことを信頼しています。ゼロ知識アーキテクチャは、その依存関係を排除します。
出典: