運用前に知っておきたいSaaSサービスのセキュリティリスク

最終公開日 : Dec 12, 2022 |

インフォマティカ編集部

クラウドを介して必要なソフトウェアを必要なだけ利用できるSaaS。勤怠管理や営業支援システムなど、サービスの内容も多様化するにつれて企業の利用頻度も増えています。そのような背景の中、企業が気になるのがそのセキュリティリスクです。今回はSaaSサービスに関わるセキュリティ事情についてご紹介します。

1.SaaSのセキュリティは安全？

オンプレミス環境の場合、セキュリティの対策は自社で行うのが基本ですが、SaaSでは利用者がコントロールできる範囲が限られ、セキュリティ対策もベンダー側に任せる部分が大きくなります。これは利用者自身がシステムの管理や保守をする負担から解放される一方で、セキュリティをベンダーに依存するという状況にあることを意味しています。

そのため、以前はSaaSの安全性に関して不安を抱くような企業も少なくありませんでした。その認識が変わってきたのは、多くのベンダーがサービスの内容の充実と同時に、セキュリティ対策を万全なものとすることに注力してきたからです。オンプレミスと比べてどちらが安全かというのは一概には言えませんが、SaaSを提供しているベンダーの多くが、少なくとも常時、機密性の高いデータを扱っているような企業と同等か、それ以上のセキュリティ対策を講じています。

2.SaaSサービスを企業に導入する際にチェックしたいポイント

SaaSサービスにおけるセキュリティの強度は、どのベンダーを選定するかによって大きく変わります。そこでSaaS導入の際にチェックすべきポイントについて挙げてみましょう。

◆セキュリティ情報が開示されているかどうか

まず、導入を検討しているSaaSサービスとベンダーがどのようなセキュリティ対策をしているのかを確認する必要があります。ポイントとして、データセンターの災害・侵入対策、データのバックアップ、不正アクセス対策、アプリケーションへのアクセス制御、仮想マシンの対策、その他ハードウェア・OSの対策、アクセスログ管理、通信の暗号化などがあります。これらについてのセキュリティ情報が公開されていることを確認し、また内容を検証しましょう。

◆データの取り扱い条件はどうなっているか

Webサイトのセキュリティポリシーやその他の資料を参照して、データや個人情報の取り扱いについて確認しておきましょう。収集した情報の利用目的や利用範囲といった基本事項から、サービスの利用が終了したときのデータの取り扱い条件はどうなっているのかといった点まで細かくチェックしておくことをおすすめします。

◆第三者機関による認証を取得しているか

第三者機関とは、セキュリティ対策について比較検証して基準を設け、認証を行っている独立機関です。セキュリティ対策に注力しているベンダーは、この第三者機関による認証取得にも積極的です。複数の認証を得ているベンダーであれば、より信頼度も高いと考えられます。

◆責任分界点の確認

SaaSサービスではセキュリティに関してベンダーに依存する比重が高いとはいえ、すべての対策をベンダー任せにするということにはなりません。ある領域で何か障害が起きたときにベンダーに責任があるのか、利用者側なのかという問題についても事前に把握しておく必要があります。ケースごとの線引きの基準は責任分界点と呼ばれます。

3.SaaSサービスを導入する際に自社内でできるセキュリティ対策

ベンダーに依存する割合が高いとはいえ、自社内で行うセキュリティ対策もないがしろにすることはできません。

自社で行うセキュリティ対策の基本は、SaaSサービスへのアクセス権を持つ利用者を選定する、利用者ごとにパスワードを設定して管理するという2点です。これ以外には、2段階認証を導入する、アクセスログの証跡管理をする、社員が社外から通信する場合には一定の制限を設けるなど、それぞれの企業の事情やセキュリティポリシーに沿った細かい調整も必要になってくるでしょう。それに合致した機能がベンダー側に用意されているかどうかも問題になるはずです。

SaaSサービスの利用にあたっては、どのレベルのセキュリティ対策を必要とするのかを、使い勝手やコストとのバランスも考え合わせながら定義していくことが求められます。そのことも踏まえて、ニーズに合致したサービスとベンダーを選択しましょう。