APC 技術ブログ

株式会社エーピーコミュニケーションズの技術ブログです。

株式会社 エーピーコミュニケーションズの技術ブログです。

トップ > 【Zscaler】徹底解説:ZscalerでSaaSのリスクを可視化する「SaaS Assets Summary Report」とは?

【Zscaler】徹底解説:ZscalerでSaaSのリスクを可視化する「SaaS Assets Summary Report」とは?

はじめに

こんにちは、エーピーコミュニケーションズ iTOC事業部 BzD部 0-WANの平松です。本記事は、筆者個人の技術的な知見と経験に基づき、Zscaler SaaS Assets Summary Reportの機能をご紹介するものです。記事の内容は、弊社の公式見解や性能保証を示すものではありません。

Zscaler SaaS Assets Summary Reportとは

このレポートは、Zscalerの「SaaS Security API」を活用し、SaaS環境内に保存されているデータのスキャン結果をひとまとめにしたダッシュボードです。 通信を監視するだけでなく、既にSaaS上に置かれているファイルやメールを分析し、「機密データの流出リスク」や「マルウェアの潜伏」を可視化します。

Zscaler SaaS Assets Summary Reportのメリット

① 「意図しない共有」による情報漏洩を特定

DLP(データ漏洩防止)インシデントを確認することで、マイナンバーやクレジットカード番号などの機密情報が、ポリシーに違反して保存・共有されている箇所を即座に特定できます。

② 「危険なユーザー」をランキング形式で把握

「インシデントが最も多いユーザー」セクションでは、リスクの高い操作を繰り返しているユーザーがリストアップされます。これにより、意図的な持ち出しだけでなく、操作ミスが多い部署へのフォローアップや再教育が可能になります。

③ シャドーITとリスクの高いアプリを判別

「リスクの高いクラウドSaaSアプリケーション」の一覧では、組織全体で使用されているアプリの脅威指数や使用量が表示されます。管理外の危険なアプリを可視化し、脅威を軽減するための手助けになります。

Zscaler SaaS Assets Summary Report確認方法

ZIAの[Analytics] > [SaaS Assets Summary Report]をクリックします。

SaaS Assets Summary Reportが表示されます。

Zscaler SaaS Assets Summary Reportの内容について

Zscaler Gen AI Security Reportの機能と記載内容について番号順で説明します。

①レポートの印刷

①のアイコンをクリックすることにより、SaaS Assets Summary Reportの内容を印刷することができます。 またレポート上部には以下の内容が記載されています。

  • Organization:レポートの対象となっている会社名(またはZscaler上の登録名)が表示されます。
  • Administrator:このレポートを表示・生成している管理者のユーザー名が表示されます。
  • Units: Scans:レポート内のグラフや数値が「スキャンした回数(またはファイル数)」を基準に集計されていることを示します。 またSaaS Assets Summary Reportで表示される値は、スキャンを元に表示されるため「Scans」以外は項目はありません。

  • Group By: データをどのような切り口で分類して表示しているかを指します。またSaaS Assets Summary Reportでは以下の項目が存在します。

    • Incident Type : 「どのような違反が起きたのか」という性質で分類する項目です。
    • Zscaler's DLP Engine : 「どのDLPルールにヒットしたか」で分類する項目です。
    • Advanced Threat Category : 「どのようなサイバー攻撃の疑いがあるか」で分類する項目です。
    • Department : 「どの組織部門で発生したか」で分類する項目です。
    • User : 「誰が問題の操作を行ったか」で分類する項目です。

  • Time Range:ログの対象期間が表示されます。

  • Application:ZscalerがAPI連携して監視しているSaaSの一覧が表示されます。

レポート上部のPrintをクリックすると印刷形式の指定ができます。 またGo Backをクリックすると、SaaS Assets Summary Reportの管理画面に戻ることができます。

②アプリケーションとカテゴリのフィルタリング SaaS Assets Summary Reportで表示するアプリケーションとカテゴリをフィルタリングします。 フィルタリング対象のアプリケーションとカテゴリは以下の項目があります。

  • Collaboration Applications (Slack, Webex Teams, Microsoft Teams, and Zoom)
  • CRM Applications (Salesforce and Dynamic 365)
  • Email Applications (Exchange and Gmail)
  • File Sharing Applications (Box, OneDrive, SharePoint, ShareFile, Dropbox, Confluence, Smartsheet, and Google Drive)
  • Gen AI Applications (ChatGPT)
  • ITSM Applications (ServiceNow and Jira Software)
  • Source Code Repository Applications (GitHub, GitLab, and Bitbucket)
  • Public Cloud Storage Applications (Amazon S3, Google Cloud Platform, and Microsoft Azure)

③表示期間の設定 SaaS Assets Summary Reportで表示する結果の期間を選択できます。 期間は以下の日時を選択できます。

  • Last 24hour
  • Last 7Days
  • Last 15Days
  • Last 30Days
  • Custom(最大90日間まで指定可能できます。)

④インシデントの合計数 スキャンされたデータの総数、およびZscalerによってインシデントと判定されたファイルの総数を表示します。 インシデント判定は、以下の2種類に分類されます。

  • DLP Incidents(DLPポリシー違反)
  • Malware Incidents(マルウェアポリシー違反)

本項目では、これら2つのポリシーのいずれかに抵触したファイルの合計数を集計し、表示します。

⑤インシデントの傾向 レポートで選択した期間に基づき、インシデントの推移を確認できます。表示はSaaSアプリケーションごとにフィルタリングが可能で、初期状態では「すべてのアプリケーションカテゴリ」が表示されます。

グラフ上のプロット(傾向線)を詳細表示すると、DLPやマルウェアといったポリシータイプ別のインシデント数を確認できます。さらに、数値をクリックすることで「SaaSセキュリティ インサイト ログ」ページへ遷移し、詳細なログを調査することが可能です。

⑥アプリケーション インシデントの数 アプリケーションごとのインシデント数を表示します。 各インシデントは、ポリシーのタイプ(DLPとマルウェア)別に分類されて表示されます。 各アプリケーション内の数字をクリックすると、「SaaSセキュリティ インサイト ログ」ページへ遷移して、ポリシー違反となったログの詳細情報が確認できます。

⑦DLPインシデントの詳細分析(エンジン・辞書・重大度別) DLPで検知したインシデントの分布を確認することができます。 確認できる項目は、以下のものがあります。

DLPエンジン (DLP Engines)

定義: 複数の「DLP辞書」を論理的にグループ化した判定ユニットです。

  • 役割: 組織の特定のコンプライアンス要件(例:個人情報保護、クレジットカード情報保護、機密設計書保護など)に合わせて、複数の辞書を組み合わせて検知ロジックを構成します。
  • レポートでの活用: 「どのビジネスルール(エンジン)に最も多く抵触しているか」を確認することで、組織全体のデータリスクの傾向を把握します。

DLP辞書 (DLP Dictionaries)

定義: データを検知するための具体的な「定義リスト」または「パターンMatchingルール」です。

種類

  • 定義済み辞書(Predefined): Zscalerが標準提供するもの。マイナンバー、クレジットカード番号(PCI-DSS)、パスポート番号、各国語の住所など。
  • カスタム辞書(Custom): 特定のキーワード、正規表現(Regex)、EDM(Exact Data Matching:指紋照合)など、ユーザーが独自に定義したもの。
  • レポートでの活用: 「具体的にどのような種類の機密データが露出しているか」を特定します。

重大度 (Severity)

定義: インシデントの緊急性やリスクの大きさを表す指標です。

  • 分類: 通常、High(高)、Medium(中)、Low(低)、Informational(情報) の4段階で表示されます。
  • 判定基準: 一致回数(Confidence Score/Threshold): 1つのファイル内に1件の個人情報がある場合(Low)と、100件ある場合(High)で分けられます。
  • 共有設定: 外部に公開されているファイル(Public)での違反は重大度が高く設定されます。

⑧マルウェア インシデントの脅威カテゴリ 威カテゴリー別のマルウェア インシデントの分布を確認します。アプリケーションのタイプでフィルター処理できます。

⑨インシデント発生部署 最も多くのインシデントを生成したデータを所有している部署を表示します。

⑩インシデント発生ユーザ 最も多くのインシデントを生成したデータを所有しているユーザーを表示します。

また、本項目のユーザー名の中に 「unknown_saas_user」という表記が現れることがあります。 これは簡単に言うと、「SaaS側にはアカウントが存在するものの、Zscaler側のユーザー管理(同期)から漏れているユーザー」を指します。もしこのユーザー名が表示されている場合は、ユーザー同期が正常に行われているか、あるいは会社が意図して管理しているアカウントであるかを確認していただけると良いかと思います。

⑪組織横断的に利用されているリスクの高いクラウドSaaSアプリケーション 組織全体で利用されている未承認(またはリスクが懸念される)アプリケーションを特定します。セキュリティ担当者は、このリストを見ることで「今すぐブロックすべきアプリ」や「正式な導入を検討すべきアプリ」を判断できます。

本項目に記載されている詳細内容

  • アプリケーション:検知されたSaaSの名称(例: Dropbox, ChatGPT, Canva, WeTransferなど)。
  • カテゴリー:アプリの用途分類(例: AI/ML, ファイル共有, コラボレーション, SNSなど)。
  • 脅威指数 (Risk Index):Zscalerが算出する1(安全)〜100(危険)のスコア。認証、暗号化、運営会社の財務状況、過去の侵害履歴などを総合評価します。
  • 正味使用量 (GB):そのアプリを通じて送受信されたデータ通信量。使用量が多いほど、情報漏洩が発生した際の影響範囲が広いことを意味します。
  • 推奨構成:Zscalerが推奨するアクション。ポリシーでの「ブロック」や、機能を制限した「読み取り専用」への変更などが提案されます。

まとめ

今回はZscaler SaaS Assets Summary Reportについて書きました。 SaaS Assets Summary Reportは、自社のクラウド環境に潜むリスクを可視化する重要なレポートです。インシデントの発生状況やリスクの高いアプリ利用、そして管理外の「未知のユーザー」による操作を正しく把握することで、実効性の高いセキュリティ対策が可能になります。単に数値を追うだけでなく、レポートから得られた洞察をもとに設定の最適化やユーザー教育を継続し、安全で利便性の高いSaaS利用環境を構築していきましょう。

0-WANについて

私たち0-WANは、ゼロトラスト製品を中心とした、マルチベンダーでのご提案で、お客様の経営課題解決を支援しております。 ゼロトラストってどうやるの?製品を導入したけれど使いこなせていない気がする等々、どんな内容でも支援いたします。 お気軽にご相談ください。 問い合わせ先、0-WANについてはこちら。

www.ap-com.co.jp

参考文献

SaaSアセットの概要レポートについて

https://help.zscaler.com/ja/zia/saas-assets-summary-report