クラウドサービスの利用を検討しているものの、セキュリティ面の不安から踏み出せない方も多いのではないでしょうか?昨今存在するさまざまなクラウドサービスは、大きく分けると「SaaS」「PaaS」「IaaS」の3つであり、サービスごとに異なったセキュリティ対策が行われています。クラウドサービスを利用する上で、どのようなセキュリティ体制が整っているのかを事前に把握しておくことは大切です。
今回はSaaSのセキュリティにフォーカスし、その安全性や利用時の注意点について解説します。
SaaSとは?
SaaSとは「Software as a Service」の略で、「サース」または「サーズ」と呼びます。インターネットを経由してソフトウェアを利用できるというクラウドサービスの1つで、私たちの身近にあるさまざまなシチュエーションでも使用されています。
まずはSaaSそのものについて詳しくご説明します。
SaaSにはどんな特徴がある?
SaaSは、使用環境を選ばず利用できるのが大きな特徴です。
インターネット経由でユーザーにソフトウェアが提供されているため、異なるデバイスでも同じソフトウェアを利用できます。SaaSにはMicrosoft 365やG Suiteのようなファイルストレージ機能やドキュメント作成機能を備えたものもあります。これらは複数人でファイルの編集または管理を行うことも可能で、インターネット環境が整っていればどこからでもアクセスができることから、社外でのリモートワークがしやすくなるなど、さまざまな働き方が実現できるでしょう。
SaaSはクラウド上のソフトウェアなので、自社でサーバーを構築、運用する必要がなく、初期費用がかからないのも大きな特徴です。スムーズに導入がしやすく、人員に合わせたアカウントの増減もできるため、パッケージタイプのソフトウェアを導入するよりも、導入コストやランニングコストを抑えることもできます。また、SaaSではサービスを提供するベンダー側がソフトウェアを管理するため、利用者側がソフトウェアの更新や、セキュリティ対策を随時行う必要もありません。そのため、利用者が抱える管理工数を大幅に削減できるでしょう。
代表的なSaaS
SaaSには、多くの企業で利用されている著名なサービスがいくつか存在します。代表的なサービスとして挙げられるのがMicrosoft 365です。クラウドからMicrosoft Officeのアプリケーションがインストールできるので、パッケージ製品を購入しなくとも、必要なアプリケーションやサービスを選んで利用できるほか、Webメール(Exchange Online)やコミュニケーションツール(Teams)なども利用できます。
他にもG SuiteやファイルストレージのBox、Dropboxなども、よく利用されるSaaSとして有名です。
SaaSのセキュリティは安全なのか?
SaaSの導入を検討されている方の中には、セキュリティ面が気になるという方も多いと思います。セキュリティの安全性は、クラウドサービスを利用する上でもとても大切なポイントです。SaaSのセキュリティについて詳しく見ていきましょう。
多くのサービスは高度なセキュリティ対策を行っている
多くのSaaSサービスでは、万全なセキュリティ対策が行われています。SaaSでは、サービスを提供するベンダー側がソフトウェアを管理するため、ユーザーが自らコントロールできる範囲は限られてしまいます。よって、セキュリティ対策についても、ユーザーではなくベンダー側が行うことになります。
現在はSaaSサービスの内容を充実させるとともに、多くのベンダーがセキュリティ対策にも力を入れており、機密性の高いデータを取り扱う会社と同等、あるいはそれ以上となる高度なセキュリティ対策を取り入れています。だからと言って100%セキュリティ事故が起きないとは言えませんが、サービス利用時の注意点を守ることで、その可能性を低減させることができます。
セキュリティの対象範囲が特定しにくいというリスクもある
自社で開発したサービスであれば、自社のセキュリティチームがセキュリティ対策を行うことができ、どういった対策が行われているかを把握できます。しかしSaaSの場合は自らがセキュリティ対策を行うのでなく、ベンダー側が行うセキュリティ対策に依存することになるため、どんなセキュリティ対策がどこまで行われているかなど、セキュリティ対策の詳細や対象範囲が特定しにくいというリスクがあります。
そのため、ユーザー自身においても、ベンダー側とは違った角度からセキュリティ対策を行うことも大切です。
SaaSを利用する際の注意点
次にSaaSを利用する際の注意点をご紹介します。SaaSは高度なセキュリティ対策が行われていることが多いものの、どのベンダーを選ぶかによってセキュリティの強度は大きく左右されます。SaaSを利用する際は、以下の注意点をもとに安心できるベンダーであるかを判断しましょう。
サービスの安全性や信頼性を確認する
SaaSに限らず言えることですが、利用しようとしているサービスやベンダーにおける安全性や信頼性を確認することは大切です。サービスはしっかり稼働しているか、障害が発生する頻度はどのくらいあるのか、それぞれの障害が発生したときの責任はどこにあるのかなど、サービスを安心して利用できる状態であるかを、くまなくチェックしておきましょう。
また、セキュリティ対策に力を入れているベンダーは、第三者機関による認証を取得していることも多いです。第三者機関とは、セキュリティ対策に一定の基準を設け、審査する独立機関のことです。この基準をクリアしているとみなされた場合にのみ、認証がおります。このような認証を得ているベンダーは、より信頼性が高いとも言えるでしょう。
サービスのセキュリティ対策が開示されているかを確認する
導入を検討しているSaaSやその提供ベンダーがどのようなセキュリティ対策を行っているのか、必ず確認しておきましょう。サービスを利用する上で、自らセキュリティ対策ができない以上、ベンダー側のセキュリティ対策・管理が極めて重要です。セキュリティ対策をきちんと行っているベンダーであれば、現在行っているセキュリティ対策を開示していることが多いです。
セキュリティ対策情報として主に、不正アクセス対策や通信の暗号化、データのバックアップ、アクセスログ管理やその他ハードウェア・OSへの対策などがあります。こういったセキュリティ対策情報が公開されているかどうか、さらにはどんなセキュリティ対策が行われているかを確認するようにしましょう。
個人情報やデータの取り扱いについて確認する
SaaSサービスを利用する際、契約条件はもとより、個人情報の利用範囲やサービス終了時を含めたデータの取り扱いについてもしっかり確認しておきましょう。これらを知ることで、ユーザー側がどんなセキュリティ対策を行えば良いかがわかるようになります。
他にも、第三者の不正アクセスによる個人情報悪用などだけでなく、ベンダー側から個人情報やデータの漏洩がないよう、それらを管理するデータセンターへの入退室管理やアクセス許可などの対策をきちんと行っているかどうかも、併せてチェックしておくと安心です。
Webサイトにあるセキュリティポリシーを活用して、契約条件と照らし合わせるとわかりやすいでしょう。
SaaSを利用する際に自社で行えるセキュリティ対策はあるのか?
SaaSのセキュリティ対策がベンダー側に依存されることから、事前にベンダー側がどのようなセキュリティ対策を行っているのか、また安心性や信頼性が高いサービスを提供しているかどうかを確認することの重要性はおわかりいただけたことでしょう。
しかし、ベンダー側に依存しているからと言って、自社で行えるセキュリティ対策がないわけではありません。むしろSaaSのセキュリティ対策とは違った角度から、ユーザー自身もセキュリティ対策を行うことが必要です。
特に大切なのが、アカウント管理の徹底です。SaaSを利用する際に発行されるIDやパスワードといった情報はきちんと選定した人のみが所有し、管理するようにしましょう。また、パスワードは単純なものでなく、英数字を組み合わせるなどし、簡単に特定されない工夫が必要です。
また、社外からアクセスする場合には一定の制限を設けたり、IDとパスワードの他にワンタイムパスワードの入力が必要になるなどの2段階認証を導入したりするのも良いでしょう。企業ごとのセキュリティポリシーにも関わってくるポイントであるため、ベンター側に頼り切ることなく、ユーザー側でも可能な限りセキュリティ対策を行うように心がけましょう。
まとめ
SaaSを利用する際は、ベンター側のセキュリティ対策だけに頼り切らず、ユーザー側でも情報が漏洩しないようセキュリティ対策を行うことが重要です。利用するSaaSに二段階認証等の機能がない場合でも、それを補うサードパーティ製のセキュリティSaaSもありますので積極的に利用してみてはいかがでしょうか。
もっと読む :セキュリティ対策ツールを一覧で紹介
