更新日:2020.09.30
SaaSのセキュリティ事情
まず、SaaSとはどういうものなのか、セキュリティ事情などについても説明します。
SaaSとは?
SaaSとは「Software as a Service」の略語で、クラウド上にあるソフトウェアをネットワーク経由で利用できるサービスのことです。ソフトウェアに関するデータもクラウドに保存できます。
SaaSは高セキュリティ
SaaSのセキュリティに懸念を示す人もいます。しかし、実際には高セキュリティであることがほとんどです。
ここではセキュリティが高いにも関わらず、不安視される理由について説明します。
不安視される理由
SaaSはデータもクラウド上に保存されるため、データ管理に対して不安に感じるユーザーがいることは事実です。SaaSでのセキュリティはサービス側が調整するため、ユーザーは運営にゆだねることしかできないからです。
また、極めてまれですが、実際にセキュリティに問題があった事例もゼロではありません。今後も何らかの障害が発生する可能性はゼロとはいえません。
パトリオット法による影響
パトリオット法とは、テロリスト対策のためにアメリカで立案された法律です。これにより、アメリカの捜査機関が、電話回線やインターネット通信の傍受、そのほかプライバシー情報に関する情報収集などができるようになりました。
パトリオット法により認められれば、米国のベンダーが捜査機関に情報開示を求められる可能性があります。そういったことから、SaaSにデータを預けることに対して不安に思う人もいるのです。
また、以前は、AWS(Amazon Web Services)東京リージョンの準拠法がワシントン州法でした。日本国内から懸念の声が上がるなどして、現在はユーザーが日本法とワシントン州法のどちらかを選択できるようになっています。
SaaSのセキュリティリスク対策
SaaSにおいては、どのようにセキュリティリスクに備えればいいのでしょうか。ユーザー、ベンダーの両面における対策を紹介します。
ユーザーによる対策
CASB(Cloud Access Security Broker)導入
CASBとは、ユーザーとサービス側の間にコントロールポイントを設けて利用する、SaaSの管理を行うサービスのことをいいます。SaaS側のセキュリティ対策を強化するのではなく、SaaSの利用を制限したり、機密情報がクラウド上にあがらないようにしたりするためのサービスです。
CASBを導入することにより、どのSaaSを利用しているのか、データの取り扱いに問題はないか、セキュリティポリシーの基準を満たしているかなどを確認できるのです。これにより、社員がセキュリティ性の低いSaaSを利用したり、機密情報をクラウドにアップしたりすることを防げるでしょう。
ただ、データを精査する能力が低いCASBもあり、通常のデータを機密情報として検知される、機密情報がアップされているのに検知しないといった問題も存在します。CASBを利用するときは、どこまでデータをチェックできるのか、精度はどのくらいなのかを確認することが大切です。
アカウント・アクセス管理
どの社員が、どのようなSaaSを利用するのか、どのようなデータを扱うのかなどを制限することでセキュリティを高めることもできます。
例えば、利用するSaaSによって扱えるデータや操作を許可したり、アクセスできる社員を選定して限られた人のみにパスワードを渡したりするなどです。同一アカウントを複数人で扱わないようにすることも対策となります。さらに、パスワードなどのアカウント情報や権限などを、ほかの人に渡らないように管理を徹底させるようにするといいでしょう。
社内でこういったルールをつくることで、機密情報などのデータ漏洩を防げます。ユーザーがSaaS自体のセキュリティ対策を行うことができないため、各社員が適切に利用できる環境を構築することが大切です。
ベンダーによる対策
ネットワーク管理
一般的にベンダーでは、データを送受信しているときの通信傍受を防ぐために、データを暗号化するといった対策がとられています。また、ワンタイムパスワードや多要素認証、デジタル証明書などによる不正ログイン防止も重要です。パスワード入力の際にも暗号化して送信など、漏洩防止が必要です。
データセンター管理
データセンターの物理的な攻撃への対策も必要です。データセンターへの入出許可を厳重に管理し、室内の機器へのアクセス許可制にしましょう。そのほか、データセンターを複数配置する、バックアップをとる、拠点を公開しないといった方法もあります。
SaaS導入時に確認したいセキュリティのチェックポイント
SaaSには社内の大事なデータを預けることになります。安全にSaaSを利用するため、導入時に確認しておくべきことを説明します。
ベンダーやサービスの信頼性
導入前に、利用予定のベンダーやサービスがどの程度信頼できるものなのかを確認します。利用者数やサービスの稼働状況、過去に起きた障害や復旧に関する詳細、メンテンナンスの頻度などを見て判断しましょう。SaaS導入を専門とするコンサルタントに相談してみてもいいでしょう。
ベンダーによるセキュリティ対策
ベンダーによるセキュリティ対策についても確認しておく必要があります。特に気を付けるべき項目は、個人情報や預けているデータの取り扱い、サービス利用終了時にデータのあつかいについてです。この2点について確認してから導入するようにしましょう。
ここでは、セキュリティ対策がどのようにされているのか確認する方法を説明します。
セキュリティポリシーの開示
ベンダーがデータや個人情報の取り扱いに関するセキュリティポリシーを開示しているのかどうかをチェックします。開示していない場合は利用しないほうがいいでしょう。セキュリティポリシーはホワイトペーパーや資料で確認できます。
第三者認証の取得
第三者認証を取得しているベンダーを利用するようにしましょう。第三者認証とは、外部機関の調査により受けた認証のことで、セキュリティ対策がしっかりしていることの証明となります。代表的な第三者認証はプライバシーマーク、ISMS認証などです。
責任分界点の確認
責任分界点とは、何か障害が発生したときに、ユーザーとベンダーのどちらに責任があるのかを分ける基準点のことをいいます。SaaSにおけるセキュリティ対策はベンダー側の比重が大きいですが、ユーザー側の原因によって問題が起こることもあります。ユーザーがどの程度セキュリティ対策をすべきなのかを把握するためにもしっかり確認しましょう。
サポート体制
どの程度サポート体制が充実しているのかは、ユーザーにとって重要項目となる傾向にあります。状況に合ったサポートを受けられるか、サービスに関する問い合わせ先など、サポート体制の提供について、よく確認しておきましょう。
クラウドサービスの導入や運用に対する不安をどうするか
クラウドサービスは比較的新しいデータ管理システムであり、導入や運用に不安を覚える方もいます。ここでは、不安の原因となる問題点について解説します。
導入や運用に不安になる理由
クラウドサービスでは、自社の情報やデータのやり取りを外部に任せることになります。そのため、何かあったときはどうすれば良いのか、自社での対応は難しいのではといった不安が運用をためらわせます。システム自体はサービス事業者が管理しているという「目に見えない状況」に心配するユーザーも少なくありません。
自社でできる対策を打てばセキュリティレベルは上げられる
クラウドサービスは「プロに任せている」と考えましょう。その上で、自社で対策を講じることも必要です。自社内で起こり得るリスクは、クラウドもオンプレミスでも変わりありません。
多くの企業が導入しているサービスであれば、導入実績が公開されているので確認してみてください。また、不安点を相談できる窓口があると、より安心して利用できるでしょう。
あらためて運用方法やリテラシー教育を整備する
クラウドサービスの導入にあたっては、情報セキュリティーポリシーを決めて、社員全員に周知徹底するよう努めましょう。情報リテラシーに関する教育は定期的に実施し、社員の知識や認識も更新していく必要があります。運用方法や教育にあたっては、経済産業省の情報ガイドラインを参考にするとよいでしょう。
まとめ
SaaSのセキュリティは非常に高いものとなっています。しかし、クラウド上に大切なデータをアップロードするため、データやパスワードの漏洩などが起こらないように、しっかりとしたセキュリティ対策が欠かせません。
また、サービスの特徴や安全性については再確認することが重要です。SaaSを導入するときには、セキュリティ対策をあらためてチェックしてください。セキュリティ対策を万全にした上で、自社にとって最適なSaaSの導入を検討しましょう。
|
RICOH Chatbot Service |
|---|
|
紹介資料 |
|---|