SaaS利用において行うべきセキュリティ対策とは?

クラウドサービスの形態のひとつであるSaaS(Software as a Service)は、利用者が必要なときにネットワークを通じてソフトウェアを使うサービスです。オンプレミスのシステムと比べて短期間かつ低コストで導入できる場合が多いことから、その種類は年々増え、導入を推進する企業も増えています。しかし、検討の際には十分なセキュリティ対策が必要です。そこで本記事では、SaaSを利用するうえで実施すべきセキュリティ対策のポイントを紹介します。

SaaSの特徴

SaaSの特徴としては以下のようなものが挙げられます。

デバイスにインストールせずに利用できる

SaaSの場合、一般的にはユーザーがインターネットを経由してサービスを利用する形態をとっています。そのため、サービスを利用する際にユーザーのデバイスにソフトウェアをインストールする手間がありません。サービスのアップデートやメンテナンスはSaaSのサービス提供者側で実施されるので、ユーザー側で個別にメンテナンスせずにすみます。社内のシステム担当者にとっては、個々のデバイスの運用メンテナンスが軽減するというメリットになるでしょう。また、情報セキュリティに精通していない人でも新規の導入や利用が容易になります。

データはSaaS側で保管される

データはクラウド上に保管されています。そのため、複数人やチームで、同時にデータの管理・編集することが可能です。出張先や在宅ワーク環境でも社内と同様に業務を進められるので、働き方改革を推進するうえでも有効です。

セキュリティレベルはSaaSに基づく

自社開発のネットワークシステムやオンプレミスサーバで構築されたシステムと異なり、SaaSのセキュリティレベルは、そのサービスを提供する会社のレベルに基づきます。そのため、SaaS導入を検討する際にはサービス提供事業者のセキュリティレベルが自社のシステムにおけるセキュリティに見合うレベルであるかを十分に確認する必要があります。

SaaS利用で気になるポイントについては、こちらの記事もご覧ください。
「クラウド導入のポイントとは?メリットとデメリットを解説!」

SaaS導入前に欠かせないセキュリティ対策

SaaSの導入にあたっては、セキュリティ対策を十分に施す必要があります。ただし、サービスのセキュリティレベルはSaaS自体に基づくので、自社で実施すべきセキュリティ対策と、SaaSのサービス提供会社で実施するセキュリティ対策を明確に切り分けたうえで考えることが大切です。

自社で実施するセキュリティ対策

1. データやコンテンツの取り扱い

インターネットを介して利用するSaaSには、悪意の第三者によって不正アクセスやなりすましによるデータ閲覧や改ざん、情報漏えいなどが起こるリスクがあります。SaaSを利用する企業は、データやコンテンツに関するセキュリティ対策を検討しなくてはなりません。利用対象となるデータやコンテンツの範囲を明確にするほか、ログインIDやパスワードの設定、データやコンテンツへのアクセス権限設定などは、自社で決めることになります。また、導入予定のSaaSが自社のセキュリティポリシーに準ずる形で利用できるのか、十分に精査することが求められます。

かもめエンジニアリングは、SaaSだけでなく既存の社内システムまで統合可能な、シングルサインオン&ID管理ソリューションを提供しております。ログインIDやパスワードをよりセキュアに管理したいという方はこちらをご覧ください。
SSOソリューション「KAMOME SSO」

2. 運用体制の明確化

SaaSの社内運用体制も、導入前に検討すべき事項です。アカウント管理や万一の事態が発生した時の対応について(データのバックアップが3つ以上あるか、そのうち1つはメインサーバーとは遠くの場所に保存されているかなど)、事前に社内で固めておきましょう。そのうえで、SaaSのサービス提供会社との運用連携やサポート体制についても確認して、安心安全なシステム運用を目指します。

SaaSを適切に管理する方法は以下の記事をご覧ください。
SaaS管理ツールとは?アカウント管理におけるメリットや選定方法を解説

3. 適切なサービス提供会社の選定

自社のデータやコンテンツをクラウドに移行してサービスを利用することになるので、提供する企業の選定はセキュリティ対策のひとつとして非常に重要になります。予期せぬサービス変更・終了のリスクを極力回避するために、SaaSを提供する企業について経営状況や導入実績、過去のセキュリティインシデントなども確認しておくとよいでしょう。サービスについても、仕様書や契約書を確認したり、候補となる企業に直接問い合わせたりして、信頼性や継続性を見極めることが必要です。さらに、SaaSを提供する企業のサポート体制(サポート内容やサポートのレベル)も確認しておくべき事項です。

クラウド活用における注意点はこちらの記事もご覧ください。
「自社でもクラウドを活用!移行の流れと注意点とは」

サービス提供会社を選定する際に確認するセキュリティ対策

SaaSの場合、データやコンテンツより上位層にあるアプリケーションやネットワーク等の領域に関するセキュリティ対策は、サービス提供会社によって実施されます。そのため、利用者側にとっては運用コストを軽減できるメリットがある一方で、導入前にSaaSのセキュリティについて十分に確認する必要があります。

主なチェックポイントは以下の3つです。

1. 通信データの暗号化

SaaSでは、インターネットを介してクラウド上のデータを利用します。そのため、データ改ざんや傍受などのリスクを回避するために通信データの暗号化は必須となります。

2.セキュアなアプリケーション/OS構築

近年のセキュリティインシデントでは、アプリケーションやOSの脆弱性を狙ったSQLインジェクション攻撃やクロスサイトスクリプティング攻撃が増えてきています。そのため、定期的な脆弱性診断や脆弱性パッチの更新などを実施することが必須になります。また、SaaS自体やSaaSのサービス提供会社が攻撃を事前に検知して障害発生を未然に防いだり、万が一攻撃を受けてもその影響範囲を最小限に留めるための対策が施されているかどうかも重要になります。

3. データの管理体制

SaaSが利用するデータセンターがどこに設置されているのか、データのバックアップ体制がどのようになっているのかは、導入前にサービス提供会社に確認しておくべき事項です。特に重要なデータを扱う場合はデータ自体を暗号化するなど、自社で運用を工夫することも検討すべきかもしれません。

利便性の高いSaaSを安全な環境で利用するために、万全のセキュリティ対策を

SaaSは短期間かつ低コストでの導入が可能な一方、これまで自社のネットワーク環境で管理していたデータをクラウド環境に置くことによるセキュリティリスクが少なからずあると認識することが必要です。これからSaaS導入を考える企業は、機能面や利便性だけでなくセキュリティ対策も十分考慮したうえで適切なサービスを選定することをおすすめします。 

総務省が発表したクラウドサービス利用・提供における適切な設定のためのガイドラインも参考にして、万全なセキュリティ対策を行いましょう。

事業・商品・サービスに関するお問い合わせ

製品に関するお問い合わせはこちら

※フリーメールでのお問い合わせは受け付けておりません。

必須
必須
必須
必須
必須
必須
必須