SaaS利用時のセキュリティリスクとは？実施すべき対策や情報管理のポイント

クラウド上でソフトウェアを利用できるサービスであるSaaSは、インターネット環境があればどこからでもアクセスが可能で、複数のユーザーが同時に作業できます。

SaaSは、企業が従業員の多様な働き方を支援するうえで欠かせない仕組みですが、クラウドサービスを利用する以上、ハッキングや情報漏洩のリスクがあることも事実です。

セキュリティ対策はベンダー側が担う部分が大きい一方で、ユーザー側である企業の対策も必要です。SaaSを安全に利用できる仕組みを整え、顧客の情報と企業の信用を守りましょう。

本記事では、SaaSを利用する際に伴うセキュリティリスクや対策方法について解説します。SaaS導入の有無に関わらず、企業のネットワークセキュリティ全般の体制整備にも役立つため、ぜひ参考にしてください。

SaaSはシステム運用の負担を軽減でき、自動アップデートで最新のセキュリティ体制を保ちやすいなどのメリットがある一方で、さまざまなセキュリティリスクが存在します。

ここでは、SaaS利用時に考慮しておくべきセキュリティリスクと課題を7つ紹介します。

1. 第三者やマルウェアによる攻撃
2. 不正アクセス
3. 故意・不慮によるデータ漏洩
4. なりすまし
5. 乗っ取り
6. 情報の改ざんやデータ破壊
7. SaaSが停止した場合の業務への影響

1. 第三者やマルウェアによる攻撃

セキュリティリスクのなかでも、30年以上前から危険視されているのが、悪意のある第三者やマルウェアによる攻撃です。

マルウェアは悪意のあるソフトウェアを意味し、システム上で不正なアクションを実行するものです。例えば、ウイルス、ワーム、トロイの木馬、スパイウェアなどがあげられます。

これらの攻撃方法には、利用者のシステムへのアクセスを制限し、制限を解除するために金銭を要求するなど悪質な手法もあるため注意が必要です。

セキュリティ強化でマルウェアへの対応ができるケースも多いため、SaaS運用ではセキュリティ診断を実施し、適切に対応しましょう。
 

2. 不正アクセス

SaaSの多くは、同一のシステムやサービスを複数のユーザーで共有する「マルチテナント方式」を採用しています。

多くの人にアクセス権限を付与できるのは便利な反面、アクセスできるユーザーを精査しなければ情報が流出する可能性があり、不正アクセスの恐れがあります。

不正アクセスされると、情報の改ざんやデータ破壊、不正ログインなどの被害にあうリスクが高まります。

アクセス情報が外部に漏れないよう、アクセス権限を最小限に絞るなど、情報の取り扱いに配慮して運用しなければなりません。
 

3. 故意・不慮によるデータ漏洩

インターネット環境があればどこからでもアクセスできるSaaSの特性上、持ち出しのパソコンを不注意で紛失したことで情報漏洩が起きるケースや、悪意のある内部関係者による不正が行われるといった、人的リスクも考慮する必要があります。

ベンダー側がいくら強固なセキュリティ体制を構築していても、利用者側の過失による被害には対処できません。利用者側における、セキュリティリスクの理解と運用上の対策が求められます。
 

4. なりすまし

「なりすまし」とは、第三者が本人になりすまして不正アクセスを働く行為で、マルウェアや情報漏洩が主な要因です。

なりすましによる被害には、偽のビジネスメールによる詐欺被害や誹謗中傷の事例などがあります。

SaaS利用時に限らず、不審なメールは開かないことや、複雑で強度の高いパスワードを設定するといった対策が必要です。
 

5. 乗っ取り

SaaS利用時に、単一パスワードを使いまわしたり、簡単に覚えられるパスワードを設定したりしていると、IDやパスワードが外部に流出し、乗っ取りの被害にあう危険性が高まります。

パソコン・スマートフォンなどの端末や個人情報が奪取されると、他人が自分になりすまして他の人へ攻撃するなどのリスクが発生します。

システムごとに異なるパスワードを使用し、大文字・小文字・数字・記号を混ぜることや、長めのパスワードを設定するなどの対策が必要です。
 

6. 情報の改ざんやデータ破壊

暗号化されていない公共の無料Wi-Fiへ接続した状態でのSaaS利用により、第三者へデータが流出し、情報改ざんやデータ破壊が発生する可能性があります。

顧客情報や社内の機密情報が改ざんやデータ破壊の被害にあうと、企業イメージの毀損や顧客からの信用の失墜にもなりかねません。

無線LANの利用時には、接続時にパスワードが必要な、暗号化されたネットワークであることを確認するなど、セキュリティ対策を講じましょう。
 

7. SaaSが停止した場合の業務への影響

システム障害によりSaaSが停止した場合の業務へ支障も、セキュリティリスクのひとつといえます。

例えば、Google やGitHubなどがサイバー攻撃を受けると、システムが復旧するまでそれらのワークスペースが使用できなくなります。

SaaSが停止した場合でも早急に業務を再開できるよう、サービス提供会社側のセキュリティ対策を導入前に確認し、社内でのバックアップ対策を策定しておくことが重要です。
 

SaaSで想定されるセキュリティリスクに備えて適切な対策を講じることで、被害を最小限に抑えられます。

ここでは、SaaS利用時に取り組むべき9つのセキュリティ対策について解説します。

1. ID・パスワードなどアカウント情報の適切な管理
2. ファイル暗号化
3. 多要素認証や二段階認証
4. 通信のアクセス制御
5. データバックアップ
6. シングルサインオン
7. アクセス権限の設定
8. 運用ルール・ガイドラインの作成
9. セキュリティに関する社員教育の実施

1. ID・パスワードなどアカウント情報の適切な管理

企業では複数のSaaSを利用するケースも珍しくありません。しかし、同一のパスワードを使いまわしたり、予測しやすい単純なパスワードを設定していたりすると、不正利用のリスクが高まります。

記号や複数の英数字を組み合わせ、規則性のないパスワードを設定することと、そのアカウント情報が外部に漏れないよう適切に管理することが重要です。

また、社員の退社などで使用されなくなったIDを確実に削除するなど、管理ルールを徹底する必要があります。
 

2. ファイルの暗号化

SaaSで機密情報や個人情報のファイルを共有する際は、アップロード時のファイルを暗号化することで安全性を高められます。

SaaSサービス自体のファイル暗号化機能を利用するか、外部のファイル暗号化サービスを併用するなどして対応しましょう。

なお、昨今は暗号化ファイルの解析技術が向上したことから、秘密分散システムを採用するベンダーも増えてきました。秘密分散とは、アップロードしたファイルを自動的に複数か所へ保管する方法です。単にデータを暗号化するよりも安全に保管できるため、高度なセキュリティ対策として注目を集めています。
 

3. 多要素認証や二段階認証

多要素認証や二段階認証を実施することで、サイバー攻撃によるSaaSのセキュリティリスクを大幅に軽減できると考えられています。

多要素認証とは、IDやパスワード以外の要素でログイン情報を管理する方法です。例えば、IDとパスワードを使って本人認証を行ったあと、ワンタイムパスワードの発行や画像認証などで承認する方法があります。

二段階認証は、ログイン時に登録したメールアドレスにランダムな文字列が届き、通常のパスワードとあわせて二段階の認証を行うものです。メールアドレスを使っている本人以外の不正ログインを防ぐための仕組みです。
 

4. 通信のアクセス制御

社内外問わず、多数の人同士で情報共有できるのがSaaSの特徴ですが、アクセス可能な範囲が広がるほど、セキュリティリスクが高まる点には注意しなければなりません。

例えば、重要な機密情報には、「自社のテナントからのアクセスのみ許可する」「登録してある端末からのアクセスのみ許可する」などの制限をかけることで、不正アクセスのリスクを抑えられます。
 

5. データバックアップ

通信障害やシステム障害が発生した際の対処や、データのバックアップも忘れないようにしましょう。万が一、クラウド上に保管していたデータが消失してしまうと、サービス利用者は致命的なダメージを被ってしまいます。

ベンダーによっては複数のデータセンターを保有しているケースもあるため、データの保管場所を分散し、定期的なバックアップを行うことで、より確実にデータの復元が可能になります。
 

6. シングルサインオン

複数のSaaSサービスを並行して利用する場合、それぞれのアカウントが個別に発行されることで管理が煩雑になりがちですが、シングルサインオンを活用すれば管理リソースやセキュリティリスクを抑制できます。

シングルサインオンとは、一度のユーザー認証で複数のソフトウェアが利用可能になる機能です。1つのアカウント管理で複数のサービスへのログインを制御できるため、パスワード管理の負担軽減や漏洩防止につながります。
 

7. アクセス権限の設定

SaaSで機密データや顧客情報などの重要な情報を共有する際には、アクセス権限を設定し、特定のユーザーのみアクセス可能な状態にしておきましょう。

アクセス権限を適切に設定することで、悪意のある第三者による情報漏洩えいやデータ改ざんといったセキュリティリスクを軽減できます。
 

8. 運用ルール・ガイドラインの作成

利用者側に必要なセキュリティ対策は、技術的なものだけではありません。社内体制を整備する概念的な施策も必要です。

SaaSの導入とあわせて、情報セキュリティに関するポリシーやガイドラインを制定しましょう。ポリシーやガイドラインが定まっていないと、情報管理の責任範囲があいまいになるほか、重大な事故が発生した際に適切な処置が取れない恐れがあるためです。

ポリシーやガイドラインの作成時には、次の項目を基本として、利用するサービスの内容も考慮しながら必要な要素を検証していくと良いでしょう。

• 基本方針：セキュリティ対策の目的や組織全体の指針
• 対策基準：対策を講じる部署やプロジェクトごとの情報セキュリティ保護策、罰則など
• 実施手順：実際の業務や作業フローに関する具体的なルール

重要なのは、作成した運用ルール・ガイドラインを社員全員が守ることです。社内で浸透しにくいルールは形骸化しやすいため、社員の意見を収集しつつ、高いセキュリティレベルを保つルールへとブラッシュアップしていきましょう。
 

9. セキュリティに関する社員教育の実施

どれだけ強固なシステムやルールが整備されたとしても、社員のセキュリティリテラシーが低ければ、情報漏洩のリスクを軽減できません。

個人使用のパソコンやスマートフォンなどの端末で社内ネットワークに接続しない、社内のファイルやデータを個人のクラウドストレージやUSBメモリを使って持ち出さないなど、基本的なルールを徹底する必要があります。

また、情報漏洩が起きた場合の影響を社員へ周知しておくことも大切です。

情報漏洩によって企業の信用やブランドイメージ低下を招くことや、社員の過失から解雇や損害賠償請求に発展するケースなどを伝える場として、セミナーなどを実施することも有効です。
 

社内で独自のセキュリティ体制を構築するのが困難な場合は、便利なセキュリティサービスの活用を検討すると良いでしょう。

SaaSと連携できるセキュリティサービスとして、次のようなものがあります。

• IDaaS

IDaaS（Identity as a Service）は、SaaSのID管理を効率的に行えるセキュリティサービスです。IDaaSにログインすると、ひもづけておいた複数のSaaSサービスがまとめて使えるようになります。IDやパスワードを一括管理できるため、多数のSaaSを利用している際に役立ちます。

• ログ・レポート

ログ・レポートは、サービスへのアクセス履歴情報をグラフなどで可視化できるサービスです。定期的にログを確認することで、不正アクセスやサイバー攻撃の有無を確認でき、迅速な対応が可能になります。

• EDR

クラウドサービスを利用するパソコンやスマートフォンの端末をエンドポイントと呼び、EDR（Endpoint Detection and Response）は、そのエンドポイントにおける監視チェックを担うサービスです。例えば、悪質なクラウドサービスを利用してマルウェアに感染した場合、利用した端末内にウイルスが滞留するのでベンダー側では対処できません。EDRを導入しておくと、エンドポイントに侵入するマルウェアの検知やブロックが可能になります。
 

SaaS利用時のセキュリティリスクへの対応では、あらゆるケースを想定する必要があります。次の4つのポイントを押さえて運用することで、より効果的なセキュリティ管理が可能になるでしょう。
 

1. SaaSの安全性のみに依存せず自社のセキュリティを構築する

SaaSを利用する際は、SaaSの安全性や信頼性のみに依存しないことが大切です。ベンダー側で提供しているセキュリティと、社内でのセキュリティは切り分けて考えましょう。

SaaSを利用する端末やネットワーク、利用する社員のリテラシーなど、自社のIT資産に関するあらゆる要素のセキュリティを高め、より強固なセキュリティ体制を構築することを意識します。
 

2. OSやソフトウェアの一元管理で人為的な軟弱性を軽減する

セキュリティ体制の構築では、OSやソフトウェアのアップデート、不正接続対策、操作ログの監視など、複数の監視システムを組み合わせて管理するケースが多く見られます。

しかし、それぞれを分けて管理するとセキュリティホールや人的ミスによる軟弱性が懸念されるため、セキュリティ対策の計画と実施を一括して行うことをおすすめします。

一元管理することで、万が一セキュリティホールが生じた際にも早期発見につながり、迅速な対策が可能になります。
 

3. SaaSが利用できなくなった場合の業務遂行の仕組みを導入する

SaaSが利用できない場合でも、一時的であれば業務を続けられる代替の仕組みを用意しておきましょう。

データのバックアップや複数のルートで閲覧できる環境を整備し、SaaS以外の連絡手段を確保しておくことをおすすめします。
 

4. 管理・運用体制の定期的な見直しをする

日々アップデートするセキュリティリスクに備え、運用・管理体制を定期的に見直すのも大切なポイントです。

管理体制を築いたあとも、常に最新のサイバー攻撃やコンピューターウイルスに関する情報を収集し、適宜対策を追加しましょう。
 

SaaSは自社で新たなシステムを構築するよりも、安全性や管理コストの面で多くのメリットを享受できます。ただし、セキュリティ対策に関してはベンダー側に依存せず、利用者側でも対策を講じておくことが大切です。

ガイドラインを策定し、社内全体へセキュリティ対策の重要性やリスクを周知したうえで、起こり得るリスクを洗い出し、多要素認証やファイル暗号化などの具体的な対策を検討しましょう。

このような社内のセキュリティ強化は、SaaS導入の有無に関係なく実施することが大切です。顧客に安心して取引に臨んでもらうためにも、常に万全のセキュリティ対策を心がけましょう。