クラウドサービスの形態のひとつであるSaaS（Software as a Service）は、利用者が必要なときにネットワークを通じてソフトウェアを使うサービスです。オンプレミスのシステムと比べて短期間かつ低コストで導入できる場合が多いことから、その種類は年々増え、導入を推進する企業も増えています。しかし検討の際には十分なセキュリティ対策が必要です。そこで本記事では、SaaSを利用するうえで実施すべきセキュリティ対策のポイントを紹介します。

SaaSの特徴

SaaSの特徴としては以下のようなものが挙げられます。

ユーザーのデバイスにインストールせずに利用できる

SaaSの場合、一般的にはユーザーがインターネットを経由してサービスを利用する形態をとっています。そのため、サービスを利用する際にユーザーのデバイスにソフトウェアをインストールする手間がありません。サービスのアップデートやメンテナンスはSaaSのサービス提供者側で実施されるので、ユーザー側で個別にメンテナンスせずにすみます。社内のシステム担当者にとっては、個々のデバイスの運用メンテナンスが軽減するというメリットになるでしょう。

データはSaaS側で保管される

データはクラウド上に保管されています。そのため、どのデバイスからでも、常に最新のデータを用いた操作が可能です。出張先や在宅ワーク環境でも社内と同様に業務を進められるので、働き方改革を推進するうえでも有効です。

セキュリティレベルはSaaSに基づく

自社開発のネットワークシステムやオンプレミスサーバで構築されたシステムと異なり、SaaSのセキュリティレベルは、そのサービスを提供する会社のレベルに基づきます。そのため、SaaS導入を検討する際にはサービス提供事業者のセキュリティレベルが自社のシステムにおけるセキュリティに見合うレベルであるかを十分に確認する必要があります。

SaaS利用で気になるポイントについては、こちらの記事もご覧ください。
「クラウド導入のポイントとは？メリットとデメリットを解説！」

SaaS導入前に欠かせないセキュリティ対策

SaaSの導入にあたっては、セキュリティ対策を十分に施す必要があります。ただし、サービスのセキュリティレベルはSaaSに基づくので、自社で実施すべきセキュリティ対策と、SaaSのサービス提供会社で実施するセキュリティ対策を明確に切り分けたうえで考えることが大切です。

自社で実施するセキュリティ対策

1. データやコンテンツの取り扱い

インターネットを介して利用するSaaSには、悪意の第三者によって不正アクセスやなりすましによるデータ閲覧や改ざん、情報漏えいなどが起こるリスクがあります。SaaSを利用する企業は、データやコンテンツに関するセキュリティ対策を検討しなくてはなりません。利用対象となるデータやコンテンツの範囲を明確にするほか、ログインIDやパスワードの設定、データやコンテンツへのアクセス権限設定などは、自社で決めることになります。導入予定のSaaSが自社のセキュリティポリシーに準ずる形で利用できるのか、十分に精査することが求められます。

かもめエンジニアリングは、SaaSだけでなく既存の社内システムまで統合可能な、シングルサインオン＆ID管理ソリューションを提供しております。ログインIDやパスワードをよりセキュアに管理したいという方はこちらをご覧ください。
SSOソリューション「KAMOME SSO」

2. 運用体制の明確化

SaaSの社内運用体制も、導入前に検討すべき事項です。アカウント管理や万一の事態が発生した時の対応について、まずは社内で固めましょう。そのうえで、サービス提供会社との運用連携についても確認して、安心安全なシステム運用を目指します。

3. 適切なサービス提供会社の選定

自社のデータやコンテンツをクラウドに移行してサービスを利用することになるので、提供する企業の選定はセキュリティ対策のひとつとして非常に重要になります。予期せぬサービス変更・終了のリスクを極力回避するために、SaaSを提供する企業について経営状況や導入実績、過去のセキュリティインシデントなどを確認しておくとよいでしょう。サービスについても、仕様書や契約書を確認したり、候補となる企業に直接問い合わせたりして、信頼性や継続性を見極めることが必要です。

クラウド活用における注意点はこちらの記事もご覧ください。
「自社でもクラウドを活用！移行の流れと注意点とは」

サービス提供会社を選定する際に確認するセキュリティ対策

SaaSの場合、データやコンテンツより上位層にあるアプリケーションやネットワーク等の領域に関するセキュリティ対策は、サービス提供会社によって実施されます。そのため、利用者側にとっては運用コストを軽減できるメリットがある一方で、導入前にSaaSのセキュリティについて十分に確認する必要があります。

主なチェックポイントは以下の3つです。

1. 通信データの暗号化

SaaSでは、インターネットを介してクラウド上のデータを利用します。そのため、データ改ざんなどのリスクを回避するために通信データの暗号化は必須となります。

2.セキュアなアプリケーション／OS構築

近年のセキュリティインシデントでは、アプリケーションやOSの脆弱性を狙ったSQLインジェクション攻撃やクロスサイトスクリプティング攻撃が増えてきています。そのため、定期的な脆弱性診断や脆弱性パッチの更新などを実施することが必須です。また、攻撃を事前に検知して障害発生を未然に防いだり、万が一攻撃を受けてもその影響範囲を最小限に留めるための対策が施されていることも重要になります。

3. データの管理体制

SaaSが利用するデータセンターがどこに設置されているのか、データのバックアップ体制がどのようになっているのかは、導入前にサービス提供会社に確認しておくべき事項です。特に重要なデータを扱う場合はデータ自体を暗号化するなど、自社で運用を工夫することも検討すべきかもしれません。

利便性の高いSaaSを安全な環境で利用するために、万全のセキュリティ対策を

SaaSは短期間かつ低コストでの導入が可能な一方、これまで自社のネットワーク環境で管理していたデータをクラウド環境に置くことによるセキュリティリスクが少なからずあると認識することが必要です。これからSaaS導入を考える企業は、機能面や利便性だけでなくセキュリティ対策も十分考慮したうえで適切なサービスを選定することをおすすめします。　

参考：

• クラウドサービスとは？例を交えて解説！初心者にも分かるクラウド入門｜NEC
• クラウドセキュリティガイドライン 活用ガイドブック｜経済産業省
• 5分でわかるクラウドセキュリティの5つのポイント（PDF）｜Symantec