近年強化されているテレワーク推進の影響でSaaSを利用する企業は増えていますが、SaaSのセキュリティは安全なのでしょうか。
「クラウド環境にデータを預けるのは不安だ…」
「ベンダーのセキュリティ機能に依存するのはリスクが高いのでは…」
上記のようなセキュリティリスクの懸念から、SaaSの利用を躊躇している企業もまだ多いのではないでしょうか。
本記事では、SaaSにおけるセキュリティリスクと安全に利用するために自社で行えるセキュリティ対策について解説します。
記事の最後にはSaaSのリスク管理に便利なツールも紹介しますので、自社でSaaSの導入を検討している際は参考にしてください。
SaaSのセキュリティは安全か
はじめに、SaaSについての簡単な概要とセキュリティの安全性について説明します。
(1)そもそもSaaSとは?
SaaS(サース)とは「Software as a Service」の略で、「サービスとしてのソフトウェア」を指す言葉です。
具体的には、サーバー上で稼働するソフトウェアにインターネット経由でアクセスし利用できるサービスのことを言います。
たとえば「Gmail」のようなメールサービスや「Dropbox」などのストレージ、「Salesforce」などのCMSが該当します。
ユーザーはベンダーとサブスクリプション契約を行い、クライアント端末からブラウザを通じてサービスを利用するのが一般的です。
あわせて読みたい
SaaSについては、関連記事「SaaSとは?特徴やメリット、主なサービスについて解説」にて詳しく解説しております。
(2)SaaSのセキュリティは大丈夫?
SaaSはベンダー側で運用・保守を行いサービスを提供する仕組みのため、ユーザー側でセキュリティレベルを管理できません。
自社でサーバーやネットワークを構築する従来型のオンプレミスと比べ、セキュリティ面に不安を覚える人もいるでしょう。
しかし、オンプレミスと比較してもSaaSは安全に利用できる環境と言えます。
SaaSサービスは多くのユーザーを獲得する目的もあり、さまざまな対策を施しながら高度なセキュリティレベルを保っています。
提供されるソフトウェアはベンダー側でアップデートが行われ、常に最新版が利用できる状態です。
安全に利用できる環境が整った状態で提供されているので、ユーザーは安心して利用できるでしょう。
SaaS利用時のセキュリティリスク3つ
上述したように、SaaSは高度なセキュリティレベルが保たれ、ベンダーから安全に利用できる環境が提供されています。
本章ではSaaSのセキュリティリスクについて説明します。
SaaSのセキュリティリスクは以下の3つです。
- ベンダーのサーバーへのサイバー攻撃
- サービス、データセンターの停止
- 不正利用
上記の項目について、以下に詳しく見ていきましょう。
(1)ベンダーのサーバーへのサイバー攻撃
SaaSサービスには、財務会計や顧客情報など、企業にとって重要なデータを管理するアプリケーションもあります。
SaaSサービスはサイバー攻撃の標的となりやすく、企業情報の窃盗や漏洩により大きな被害につながりかねません。
また、ユーザーを狙ったフィッシング詐欺の事例も挙がっており、利用において油断は禁物です。
(2)サービスの停止
ベンダーの倒産によるサービスの停止、あるいは障害などでデータセンターが停止し、利用ができなくなる場合があります。
もしくは、サービスのメンテナンス時間に一時的にサービスの利用ができなくなるケースもあるでしょう。
たとえば、クラウドストレージにデータを預けていた場合、ユーザーはデータが利用できず業務に支障が出る恐れがあります。
一時的な停止ではなく、ベンダーが倒産などでサービスを終了する場合には、データを受領し別サービスに移行する作業も必要です。
もし汎用性のある形式でデータを受領できなければ、移行作業が難しくなるというリスクも想定しておく必要があるでしょう。
(3)不正利用
SaaSには、第三者による不正利用から情報漏洩につながるリスクが存在します。
ベンダー側はサービスが正常に機能した状態でユーザーに提供できるよう責任を負っています。
しかし、ベンダーが責任を負っているのは、アプリケーションの運用や稼働に関する範囲です。
ユーザー側は、アカウント情報を適切に管理する、アクセス権の設定を行うといった方法で不正利用を防ぐための対策が必要です。
過去にSaaSで起きた情報漏洩の事例には、ユーザー側の設定ミスが原因で起きているものも多くあります。
ベンダー任せにしておけば安心ではなく、ユーザー側でも情報資産を守るためのセキュリティ意識が必要です。
SaaSサービスを選ぶポイント3つ
次に、自社で利用するSaaSサービスを選ぶ際に注目したいポイントを紹介します。
SaaSを選ぶポイントは以下の4つです。
- セキュリティ対策
- 認証規格の取得
- データの取り扱い
- 国産かどうか
上記の項目について、以下に詳しく見ていきましょう。
(1)セキュリティ対策
ベンダーでどのようなセキュリティ対策が行われているか、その内容が開示されているかを確認しましょう。
たとえば、SaaSサービスで行われている主なセキュリティ対策には以下のようなものがあります。
- 通信の暗号化
- データのバックアップ
- 複数のデータセンターでの分散管理
- アクセスログ管理
- ハードウェアの障害対策
- ソフトウエアの脆弱性対策
- データセンターの攻撃への対策
- 災害対策
- 稼働率、稼働保証
安全性の判断基準として上記のような対策が行われているか確認しておきましょう。
(2)認証規格の取得
ベンダーが第三者の認証規格を取得しているかどうかを確認しましょう。
たとえば、以下のような信頼性の高い国際規格・国内規格を取得しているなら安心して利用できるでしょう。
- JIS Q 27001、ISO/IEC 27001(ISMS、情報セキュリティマネジメントシステムに関する規格)
- JIS Q15001(個人情報保護マネジメントシステム)
- ISO/IEC 27017(クラウドセキュリティに関するISO規格)
- ASP・SaaSの安全・信頼性に係る情報開示認定制度
(3)データの取り扱い
利用者が契約を解除、もしくはベンダーがサービスを終了した時にデータの取り扱いがどのようになるのかも確認しておきましょう。
サービスの利用をしなくなった場合に移行作業に支障が出ないように、利用規約などで以下のような点を確認すると良いでしょう。
- すべてのデータの受領が可能か
- データの受領方法(ダウンロードや媒体など)
- 互換性のある形式でデータの受領が可能か
- サービス終了の一定期間前に終了予定の通知があるか
上記に加え、第三者にデータを利用されることがないよう、サーバーに残るデータの廃棄方法についても確認しておきましょう。
(4)国産かどうか
利用する予定のサービスが国産かどうかも確認しておくと良いでしょう。
海外産のSaaSサービスには、世界中で利用され機能性の高いものも多いです。
しかし、使いやすさやサポートといった面では国産のサービスの方が優れている場合もあるでしょう。
想定外の問題に遭遇した場合でも、日本語の丁寧なサポートがあれば安心して利用できます。
自社で行えるセキュリティ対策5つ
次に、SaaS利用において自社で行うセキュリティ対策について説明します。
上述したように、ユーザー側の設定ミスによるSaaSでの情報漏洩の事例が上がっていることからも対策は必須と言えます。
SaaS利用にあたり、以下のセキュリティ対策を行いましょう。
- 多要素認証
- シングルサインオン
- アクセス制限
- アカウント管理
- アクセス権の設定
上記項目の内容について、以下に詳しく見ていきます。
(1)多要素認証
多要素認証は、ID・パスワードに加え、複数種類の要素を使って認証を行う方法です。
不正ログインやなりすましを防止するために、SaaSへのアクセスには多要素認証を導入しましょう。
パスコードや生体認証などによる二段階認証を設定しておけば、万一第三者にID・パスワードが漏洩してもログインすることは難しくなります。
あわせて読みたい
多要素認証については、関連記事「多要素認証とは?必要性と導入時のポイント3つを解説」にて詳しく解説しております。
(2)シングルサインオン
シングルサインオンは、一回の認証で複数のSaaSサービスにログインが可能な仕組みのことです。
シングルサインオンの導入は、パスワードの漏洩防止や管理負担の軽減に役立ちます。
いくつものSaaSサービスを並行して利用する場合には、それぞれのアカウントが個別に発行され管理がしづらいデメリットがあります。
「覚えやすい単純なパスワードを設定する」「書き留めたメモを目に付く場所に貼っておく」といった行為につながりやすくなり危険です。
シングルサインオンを導入すれば、一つのアカウントを管理するだけですべてのサービスにログインが可能です。
管理が簡単になるため、上記のような行為から第三者にIDやパスワードを知られてしまうリスクを軽減できるでしょう。
あわせて読みたい
シングルサインオンについては、関連記事「シングルサインオン(SSO)とは?基本やメリット・デメリットをわかりやすく解説」にて詳しく解説しております。
(3)アクセス制限
アクセス制限を掛けることもSaaSの不正ログイン防止の対策として有効です。
SaaSサービスには、ブラウザやアプリから誰でもアクセスが可能なため、不正ログインやなりすましのリスクが常につきまといます。
端末やIPアドレスなどでアクセスできる範囲を限定し、あらかじめ登録をした人だけがアクセスできる環境を作ると良いでしょう。
(4)アカウント管理
SaaSのセキュリティ対策には、アカウント管理を正確に行うことも必要です。
たとえば、退職者のアカウントを削除せずに放置しておくと、退職者による不正アクセスや情報の持ち出しにつながる恐れがあります。
「急いで削除しなくても大丈夫だろう」と放置せずに、退職者など必要のなくなったアカウント削除も漏れなく行いましょう。
(5)アクセス権の設定
データへのアクセス権限を設定することもセキュリティリスク低下に役立ちます。
機密データなど重要な情報にはアクセス権を設定し、特定のユーザーだけがアクセス可能にしておきましょう。
第三者による情報漏洩やデータの改竄、人的ミスや悪意のある従業員による漏洩リスクを軽減できます。
セキュリティ対策を一元化できるSaaS管理ツール
SaaSのセキュリティ対策にはSaaS管理ツールの導入が便利です。
企業がSaaSサービスを複数並行して導入するケースは多いですが、利用するサービスが増えると管理にかかる負担も増します。
しかし、SaaS管理ツールを使えば複数のSaaSサービスの管理を一元化できます。管理にかかる負担を大幅に軽減できるでしょう。
弊社ではSaaSのセキュリティ対策を一元化できる「メタップスクラウド」を展開しております。
メタップスクラウドは、100以上のSaasに対応しており、管理者のダッシュボードを通じて以下のようなセキュリティ管理が可能になります。
- IP制限
- 端末制御
- 多要素認証
- アクセス権の設定・管理
- 個人や組織単位でのセキュリティルールの付与・変更
- シングルサインオン
IPアドレスなどによるアクセス制限が簡単に行えるなど、状況に応じてさまざまなセキュリティ設定が可能です。
さらにサービスごとにコストや利用状況の分析も行えます。SaaS利用時のセキュリティ対策だけでなくコストや契約管理の負担も軽減できるでしょう。
あわせて読みたい
SaaS管理については、関連記事「SaaS管理の重要性とは?選び方3つのポイントからデメリットまで解説」で詳しく解説しております。
まとめ|自社でセキュリティを高めてSaaSを安全に利用しよう
多くのSaaSサービスは高いセキュリティレベルが確保され、安全に利用できる環境が用意されています。
しかし、ベンダー任せにすれば安全ではなく、自社でもアカウントの管理を適切に行うなどのセキュリティ意識や対策が必要です。
複数のSaaSを導入する場合は管理も煩雑になりますが、SaaS管理ツールを導入すれば一元管理が可能になります。
ツールの活用により、セキュリティリスクを軽減しながら管理の負担を軽減することができるでしょう。
自社の状況に合わせた方法で対策を行い、SaaSの導入を進めてみてください。
\今すぐ無駄をなくしませんか?/
メタップスクラウド編集部
「メタクラブログ」は、株式会社メタップスが運営する公式メディアです。当メディアでは、企業のセキュリティ対策や業務効率化に役立つコンテンツの情報を発信しております。