新型コロナウイルスの影響により、テレワークやサテライトオフィスを活用する企業が増えています。社外で仕事をする機会が増えたいま、注目度が高まっているのが「SaaS」です。SaaSはクラウド上で利用できるソフトウェアを指します。どこからでも同じクオリティのサービスが受けられるため、導入により多様な働き方に対応できるでしょう。

→ダウンロード: マーケティング担当者向けプライバシー&セキュリティー無料診断ワークブック

しかし、クラウドサービスを利用する以上、ハッキングや情報漏洩のリスクは免れません。ソフトウェアの管理や管轄を行う担当者の責任は重大です。

本記事では、SaaSを利用する際に伴うセキュリティリスクや対策方法を解説します。情報セキュリティは、顧客の情報と企業の信用を守るためにも重要です。SaaSの導入はもちろん、企業のネットワークセキュリティ全般の体制整備にも役立つため、ぜひ参考にしてみてください。

マーケティング担当者向けプライバシー&セキュリティー診断

まずはSaaSの特徴を理解しよう

まずはSaaSの特徴を理解しよう

SaaS(Software as a Service)とは、クラウドサーバーで提供され、インターネットを介して利用するサービスの形態を指します。利用者は、インターネットに接続していれば、場所を気にせずサービスを利用できます。

WalkMeが2020年に実施した調査では、「一社あたりのSaaS導入平均数は5.9」で、「従業員数1,000人以上の大企業では7.6」にのぼるという結果が出ています。「SaaS」だとあまりピンと来ないかもしれませんが、GmailやMicrosoft365、slackなどもSaaSにあたり、多くのビジネスパーソンにとって、非常に身近な存在です。

SaaSを通してクラウド上に保管したデータは、社内メンバー同士でスムーズに共有できます。また、メールアドレスなどを登録してログインするだけで利用が開始できるので、PCごとにソフトをインストールしたり、初期設定する必要もありません。どの端末からでも、どこからでもアクセスできるため、リモートワークに適したツールと言えます。
 

SaaSのセキュリティ面におけるメリットは?

SaaSは、クラウド上でサービスが稼働している性質上、セキュリティ面でメリットとリスクの両方をあわせ持っています。主なメリットは次の2点です。

  • 自社内の設備で運用するより安全性が高い
  • 利用者側の責任や負担を最小限に抑えられる

それぞれ詳しく見てきましょう。
 

自社内の設備で運用するより安全性が高い

SaaSの提供者(ベンダー)は、当然のことながら、クラウド上におけるあらゆるリスクを想定してサービスを提供しています。サービスが提供される段階ですでに、情報セキュリティに精通した人材によって最大限の対策がとられていると考えてよいでしょう。

同じシステムを自社内のサーバーで構築する場合、セキュリティ体制を整えるためには膨大な人員と予算が必要です。十分なリソースを確保できない場合、SaaSを利用するほうがセキュリティ上の安全性を確保しやすいでしょう。
 

利用者側の責任や負担を最小限に抑えられる

SaaSを利用した場合、セキュリティ対策の大部分をベンダー側に一任できます。セキュリティ体制の構築はもちろん、たとえば通信障害が発生したときの対処やデータのバックアップ、OSの脆弱性への対処などのバージョンアップも、ベンダーの対応領域です。

社内のセキュリティ対策にかかわる業務の負担軽減につながるほか、情報セキュリティに関する知見に乏しい企業であっても安心してシステムを導入できます。
 

SaaS利用時のセキュリティリスク

SaaS利用時のセキュリティリスク

SaaS利用する際、セキュリティ面でのメリットはあるものの、当然一切リスクがなくなるわけではありません。考慮しておくべきセキュリティリスクは、主に以下3つが挙げられるでしょう。

  • 利用者の不注意・悪意による情報漏洩
  • サービスの障害や終了
  • 第三者による攻撃
     

利用者の不注意・悪意による情報漏洩

持ち出しのPCを不注意で紛失し情報漏洩が起きるケースや、悪意のある内部関係者による不正が行われるケースです。

ベンダー側がいくら強固なセキュリティ体制を構築していても、利用者側の過失による被害には対処できません。利用者側に、セキュリティリスクの理解と対策が求められます。
 

サービスの障害や終了

SaaSの性質上、サービス自体の障害によりデータが損失したり、意図せずアクセス権限が第三者に解放されたりといったセキュリティ事故が起きる可能性もゼロではありません

また、運営会社の倒産によりサービス自体が利用不可となるリスクや、今後のサポートが受けられなくなることもあり得ます。信頼できるベンダーを慎重に選ぶ必要があるでしょう。
 

第三者による攻撃

ハッキングやなりすまし、不正利用といった、悪意のある第三者によりデータを侵害されるケースです。外部からの不正アクセスを防止するためには、利用者側とベンダー側、それぞれでセキュリティ強化に取り組む必要があります。
 

SaaSで取り組むべきセキュリティ対策

SaaSで取り組むべきセキュリティ対策

SaaSの安全な導入・運用のためには、ベンダー(サービス提供者)側と利用者側それぞれがセキュリティ対策に取り組まなければなりません。両者の観点から具体策を解説していきます。
 

SaaSベンダー(サービス提供者)側が取り組むセキュリティ対策

サービス提供者側が最低限取り組むべきセキュリティ対策は、次の通りです。

  • 通信の暗号化
  • アクセスログ管理
  • データバックアップ

上記が確実に実施されているかどうか、SaaSを検討する側であれば確実にチェックしておきたい部分です。
 

通信の暗号化

悪意のある第三者が他人の会員ページや個人情報ページにアクセスする行為を不正アクセスといいます。機密情報の漏洩やサービスの不正利用に発展する恐れがあるため、外部から情報を読み取れないようにする通信の暗号化が必要です。

SaaSはサービスを利用するのにインターネットを経由する性質上、常にサーバー間でデータの送受信が行われています。通信の暗号化とは、インターネット上で送受信される個人情報・決済情報などを暗号化し、第三者によるデータの盗聴やなりすましを防ぐセキュリティ対策です。
 

アクセスログ管理

アクセスログとは、いつ、誰が、どのようにシステムにアクセスしたのかを判別するデータ履歴(証跡)のことです。

SaaSの場合、アクセスログは常時ベンダー側のサーバーに保管されています。不正なアクセスが検知されると、アクセスログをたどり不正行為を摘発する仕組みです。
 

データバックアップ

クラウド上に保管していたデータが消失してしまうと、サービス利用者は致命的なダメージを被ってしまいます。万が一障害等でデータが破損・損失した際のリスクを軽減するための対策が、データバックアップです。

特に大手ベンダーほど複数のデータセンターを保有しています。データの保管場所を分散することでより確実にデータの復元が可能です。
 

SaaS利用者(自社)で取り組むセキュリティ対策

SaaSサービスがセキュアであっても、利用者側の不注意や過失が要因で情報漏洩やサービスの不正利用に発展する恐れがあります。利用者側でも下記の対策を講じておきましょう。

  • アカウント情報の適切な管理
  • ファイル暗号化
  • 多要素認証
  • 通信のアクセス制御
  • ガイドラインの作成

それぞれ詳しく見ていきます。
 

アカウント情報の適切な管理

企業では複数のSaaSを利用するケースも珍しくありません。とはいえ、複数のサービスで同一のパスワードを使いまわしたり、予測しやすい単純なパスワードを設定したりすると、不正利用のリスクは高まります。

記号や複数の英数字を組み合わせ、規則性のないパスワードを設定することと、そのアカウント情報が外部に漏れないよう適切に管理することが重要です。
 

ファイル暗号化

SaaSで機密ファイルを共有する際は、アップロード時のファイル暗号化で更に安全性が高まります。SaaSサービス自体がファイルの暗号化に対応している場合と、別のファイル暗号化サービスを併用するケースが考えられます。機密情報や個人情報を取り扱うことが多い場合には必ず実施しましょう。

また、最近では暗号化ファイルの解析技術が向上したことから、秘密分散システムを採用するベンダーも増えてきました。秘密分散とは、アップロードしたファイルを自動的に複数か所へ保管する方法です。単にデータを暗号化するよりも安全に保管できるため、高度なセキュリティ対策として注目を集めています。
 

多要素認証

多要素認証とは、IDやパスワード以外の要素でログイン情報を管理する方法です。

たとえばIDとパスワードを使って本人認証を行った後、ワンタイムパスワードを発行する方法が挙げられます。ワンタイムパスワードとは、「1度限りのパスワード」という意味です。ログインしようとすると登録したメールアドレスにランダムな文字列が届き、通常のパスワードとあわせて二段階の認証を行います。メールアドレスを使っている本人以外の不正ログインを防ぐための仕組みです。
 

通信のアクセス制御

社内外問わず、多数の人同士で情報共有できるのがSaaSの特徴です。しかし、アクセス可能な範囲が広がるほどセキュリティリスクが高まる点には注意しなければなりません。

たとえば重要な機密情報には「自社のテナントからのアクセスのみ許可する」「登録してある端末からのアクセスのみ許可する」などの制限をかけることで、不正アクセスのリスクを抑えられます
 

ガイドラインの作成

利用者側に必要なセキュリティ対策は、技術的なものだけではありません。社内体制を整備する概念的な施策も必要です。

SaaSの導入とあわせて、情報セキュリティに関するポリシーやガイドラインを制定しましょう。ポリシーやガイドラインが定まっていないと、情報管理の責任範囲があいまいになるほか、重大な事故が発生した際に適切な処置がとれない恐れがあるからです。

ポリシーやガイドラインには、特に決まった形式は存在しません。以下の項目を基本として、利用するサービスの内容に合わせて必要な要素を検証していきましょう。

  • 基本方針:セキュリティ対策の目的や組織全体の指針
  • 対策基準:対策を講じる部署やプロジェクトごとの情報セキュリティ保護策、罰則など
  • 実施手順:実際の業務や作業フローに関する具体的なルール
     

SaaS利用時に注意したいポイントは?

SaaS利用時に注意したいポイントは?

SaaSの安全性はベンダー側のセキュリティ対策に大きく左右されます。最適なベンダーを選択するためには、セキュリティ対策の内容を重視しましょう。以下の内容は、SaaSを選ぶ際のチェックリストとしても活用できます。
 

サービスの安全性や信頼性

同じサービス内容でも、ベンダーによって安全性や信頼性には差があります。セキュリティ対策に関する情報は公式サイトに掲載されているケースが多いため、上述のセキュリティ対策を参考に、あらかじめ確認しておきましょう。

  • 通信が暗号化されているか
  • アクセスログの管理が行われているか
  • データのバックアップがされるか
  • ファイルの暗号化に対応しているか
  • 多要素認証に対応しているか
  • 通信のアクセス制御が可能か

また、通信障害対策など、導入後のセキュリティ対策やサポートに力を入れているかもポイントです。
 

個人情報やデータの取り扱い条件

SaaSを利用すると、従業員や顧客の個人情報や社外秘のデータを入力・アップロードする機会があります。公式サイトのプライバシーポリシーから、情報管理の責任範囲や利用範囲を確認しておきましょう。

また、ベンダーによっては、サービス終了後も登録情報が抹消されない場合があります。データ漏洩の危険性が高まるため、サービス終了後の情報削除要件なども合わせてチェックしておくと安心です。
 

第三者機関による認証の有無

「情報セキュリティがしっかりしているか」は、第三者機関の認証を取得しているかが目安になります。たとえば、情報保全の制度が整っている企業に与えられる「ISO27001」や、クラウドセキュリティの第三者認証「ISO27017」などです。

とはいえ認証がないからといって、安全性が低いわけではありません。安心感や信頼度の目安としてチェックしておきましょう。
 

SaaS利用時に導入検討すべきセキュリティサービスの種類

SaaS利用時に導入検討すべきセキュリティサービスの種類

SaaSを利用する際は、ベンダーと社内、双方でセキュリティ対策を用意しておく必要があると説明してきました。しかし、社内で独自のセキュリティ体制を構築するのは、資金面や時間的な観点からも非常に困難です。

そこで、便利なセキュリティサービスの活用を検討してみましょう。最近ではSaaSと連携できる優れたセキュリティサービスが多数リリースされています。
 

IDaaS

IDaaS(Identity as a Service)とは、SaaSのID管理を効率的に行えるセキュリティサービスです。IDaaSにログインすると、ひもづけておいた複数のSaaSサービスがまとめて使えるようになります。IDやパスワードを一括管理できるため、多数のSaaSを利用している際に役立つでしょう。

多要素認証やアクセス制限などの機能を持つものもあるため、連携させることでSaaSのセキュリティ機能がより充実します。
 

ログ・レポート

ログ・レポートとは、サービスへのアクセス履歴情報をグラフなどで可視化できるサービスです。定期的にログを確認することで、不正アクセスやサイバー攻撃の有無を確認できます。また、不正行為やウイルスに感染した際などは、レポートを確認後、迅速な対応が可能です。
 

EDR

クラウドサービスを利用するパソコンやスマホの端末をエンドポイントと呼びます。EDR(Endpoint Detection and Response)は、そのエンドポイントにおける監視チェックを担うサービスです。

たとえば、悪質なクラウドサービスを利用してマルウェアに感染した場合、利用した端末内にウイルスが滞留するのでベンダー側では対処できません。EDRを導入しておくと、エンドポイントに侵入するマルウェアの検知やブロックが可能となります。
 

自社顧客を守るためにも、セキュリティ対策は万全に

自社で新たなシステムを構築するよりも、安全性や管理コストの面でメリットが大きいSaaS。しかし、セキュリティ対策の大部分をベンダー側に依存する以上、利用者側でも対策を講じておく必要があります

まずはガイドラインを策定し、社内全体へセキュリティ対策の重要性やリスクを周知することが重要です。そのうえで、起こり得るリスクを洗い出し、多要素認証やファイル暗号化などの具体的な対策を検討しましょう。

万が一、顧客や取引先の情報漏洩が起きれば、顧客に重大な損失を与えたり、自社の信用を損ねることになりかねません。顧客に安心して取引に臨んでもらうためにも、安全にSaaSを利用できるような体制を整えましょう。

HubSpotではこの他にもマーケティングやセールスに役立つ資料を無料で公開していますので、ぜひこちらからご覧ください。

 

マーケティング担当者向けプライバシー&セキュリティー診断

 マーケティング担当者向けプライバシー&セキュリティー診断

元記事発行日: 2021年6月29日、最終更新日: 2021年10月28日

トピック::

SaaS