【企業向け】SaaSに必要なセキュリティ対策。サービスの導入時に確認しておくポイント
- 投稿日:2021 - 9 - 1
- 更新日:2024 - 12 - 24
近年、クラウドサービスが急速に進化・発展しており、世界規模で市場を伸ばしています。そのなかでも大きな割合を占めているのがSaaSです。2021年時点での市場規模は1,399億ドルでしたが、2026年には3,283億ドルと2倍以上の規模になると予想されています。
▼世界のパブリッククラウドサービス市場規模の推移
画像引用元:総務省『令和5年版情報通信白書』
ただし、業務においてSaaSを活用する際は、メリット・デメリットを踏まえセキュリティリスクに備える必要があります。
この記事では、SaaSの概要やPaaS・IaaSとの違い、メリット・デメリット、オンプレミスとの比較、セキュリティ対策、導入時の確認ポイントについて解説します。
出典:総務省『令和5年版情報通信白書』
SaaSとは
SaaSとは、Software as a Service(サービスとしてのソフトウェア)の略称で、インターネットを通じて利用可能なクラウドにあるサービスのことを指します。
SaaSには、インターネット環境が整っていればどこからでも接続可能です。利用端末が異なっていてもSaaSのアカウントにアクセスすれば同じようにサービスを利用できます。
また、複数のチームや人数での同時作業・編集・管理にも対応しています。
PaaS・IaaSとの違い
SaaSに似たサービスにPaaSやIaaSがあります。これらはすべてクラウドサービスの一種です。
PaaSは、Platform as a Service(サービスとしてのプラットフォーム)を指します。アプリケーションソフトが稼働するためのデータベースや、プログラムの実行環境を提供するサービスのことです。
IaaSは、Infrastructure as a Service(サービスとしてのインフラ)を意味します。情報システムを稼働する際に必要な仮想サーバーやファイアウォールといったインフラを提供するサービスが該当します。
SaaSのメリット
SaaSは迅速に導入でき、一度導入すれば端末を問わずに利用できるようになります。また、運用・保守やアップデートなどを自社で行う必要がないため、情報システム部門の負担軽減も期待できます。
迅速に導入できる
多くのSaaSはアカウントを作成すればすぐに利用できるようになります。
従来のソフトウェアのように個々の端末にアプリケーションをインストールして設定する必要がないため、サービス導入から利用開始までの時間を短縮できます。
端末を問わずに利用できる
SaaSは、ソフトウェアの機能・データがクラウド上にあるため、インターネット接続が可能な環境であればどこでも利用できます。
オフィスでパソコンを使って作業したあと、外出先からスマートフォンでデータの登録・編集を行うといった機動性の高い働き方を実現することが可能です。
インフラの運用・保守をベンダーに任せられる
SaaSを利用する際、サーバーやネットワークなどのインフラを構築する必要はありません。
メンテナンスや障害対応などもすべてサービス提供側が行うため、情報システム部門の負担を軽減できます。
アップデートやパッチの適用が自動で行われる
SaaSがバージョンアップされたり、パッチによる修正が行われたりした際は、インターネットに接続するだけで最新のバージョンを利用できるようになります。
従来のように、端末ごとにバージョンアップやパッチの適用を行う必要はありません。
SaaSのデメリット
SaaSのデメリットとしては、柔軟な運用が難しい点や障害発生時の課題が挙げられます。
カスタマイズに制限がある
SaaSはカスタマイズに制限があります。
SaaSはすでにパッケージ化されているサービスのため、自社の状況に合わせてカスタマイズしていく運用は難しいといえます。
連携サービス以外でのデータ移行が困難
SaaSにおいては、現在利用しているSaaSと連携しているサービス以外へのデータ移行が困難になりやすいといえます。
人事評価制度や給与管理、顧客管理など、さまざまな業務に関連したSaaSが各ベンダーから提供されているものの、データ移行の問題で新たなサービスへの切り替えを行えない場合があります。
障害発生時に利用ができなくなる
SaaSを提供する側になにかしらの障害が発生した場合、サービスの利用ができなくなります。また、自然災害等でインターネット回線が接続不能になった場合も利用ができません。
また、サービス提供者がメンテナンスを行っている時間帯に、一時的に利用不可能になる場合もあります。
SaaSとオンプレミスの安全性
SaaSの導入を検討する際は、オンプレミスとの比較が必要となります。
オンプレミスとは、自社内で情報システムを構築・運用する形態のことです。限定された社内ネットワークに情報が保存されているため、高いセキュリティを保っていると考えられてきました。
しかし、昨今のサイバー攻撃やマルウェア感染といったセキュリティのリスクを考えると、アクセスできるユーザーや端末が限定されたオンプレミスであっても安全とは言い切れません。
一方で、SaaSについては、これまでに大規模な情報漏えいのようなインシデントは発生しているものの、その原因は利用者による設定不備が多くを占めているとされます。
SaaSを利用する企業側でもセキュリティを意識した運用を行うことで、オンプレミスに劣らない安全性を確保できると考えられます。
企業側で実施しておきたいセキュリティ対策
SaaSを利用する際に企業側で実施するセキュリティ対策としては、ID・パスワード管理の強化やアクセスの制御、EMM(Enterprise Mobility Management)の導入などがあります。
①ID・パスワード管理の強化
SaaSを利用する際にはID・パスワードを用いるため、ユーザー情報の管理が重要となります。
▼ID・パスワード管理のポイント
- パスワードは使い回さない
- 特定されにくい文字列を設定する
- 退職者や異動者のアカウントを放置しない など
また、生体認証や多要素認証を導入する方法も有効です
②アクセスの制御
SaaSにアクセスできる人や場所、端末などを制限して管理することで、安全な運用につながります。
SaaSの技術的側面も理解して社内で適切な運用ルールを確立できる人を管理者としたうえで、サービスを利用する社内の対象者を決め、アカウントによって使用できる機能や与える権限の範囲を決定することが有効です。
また、状況に応じて特定のアカウントのアクセスを制限できるサービスを利用すると、柔軟な対応が行いやすくなります。
③EMMの導入
SaaSのセキュリティ対策としては、SaaSを利用する端末にEMMを導入しておく方法があります。EMMとは、モバイル端末やアプリケーションなどを一元管理できるシステムです。
EMMでは端末にロックをかけたり、データを消去したりできるため、端末の紛失が生じた際にも陣族に対応できます。
SaaSの導入時に確認するポイント
SaaSの導入時には、セキュリティ体制や責任範囲、インシデント対応について各サービスを比較したうえで導入することが重要です。
①セキュリティに関する認証・認定を取得しているか
セキュリティに関する認証・認定を取得しているサービスおよびサービス事業者であれば、一定の水準を満たしたセキュリティ体制が期待できます。
セキュリティ分野においては、ISO規格が国際的な規格となります。特にSaaSに関するものとしてはISO270017のクラウドセキュリティ規格が該当します。
②利用時の責任範囲や補償はどうなっているか
SaaSの導入に際しては、利用時の責任範囲や補償について確認しておくことが必要です。
SaaSを始めとするクラウドサービスにおいては、利用者とサービス事業者とが責任を共有する必要があり、これを責任共有モデルと呼びます。
一般的に、SaaSにおいてはデータとアプリケーション管理の一部がユーザーの責任範囲となり、それ以外はサービス事業者の責任となります。
▼SaaSにおける利用者とサービス事業者の責任範囲の例
画像引用元:総務省『クラウドサービス利用・提供における適切な設定のためのガイドライン』
ただし、責任範囲や補償の内容はサービスの内容や利用条件、環境によっても異なるため、あらかじめ確認が必要となります。
出典:総務省『クラウドサービス利用・提供における適切な設定のためのガイドライン』
③インシデントにどのように対応しているか
SaaSが直面するセキュリティの脅威に対して、対策が具体的に公開されているかどうかも、サービスの信頼性と安全性を判断するポイントです。
サイバー攻撃に対して、通信の暗号化や侵入検知といった対策を施しているかを確認しておきます。
また、サービスで使われているソフトウェアの脆弱性対応やセキュリティパッチの適応について、随時情報を公開しているかも重要となります。
端末にデータを残さない仕組みでSaaSに安全にアクセス
SaaSは、インフラの構築や保守というコストを軽減し、インターネット回線さえあればどこからでも接続が可能という点から、業務の効率化に寄与します。
SaaSの導入時には、サービス提供者の安全性や信頼性を確認するとともに、技術的なセキュリティ対策と厳格な運用ルールを講じて、情報の安全性を高めることが重要です。
『moconavi』はさまざまなクラウドサービスと連携が可能であり、かつ業務アプリをサンドボックス内に配置できます。隔離された作業環境を構築するため、仕事で利用する端末に重要なデータを残しません。情報の安全性を高く保ったまま、効率を落とすことなく業務を遂行することが可能です。
SaaSは、インフラの構築や保守というコストを軽減し、かつインターネット回線さえあればどこからでも接続が可能という点で、業務を効率化します。しかし、サービス提供者の安全性や信頼性を確認するとともに、技術的なセキュリティ対策と厳格な運用ルールを講じて、情報の安全性を高めることが重要です。
moconavi(モコナビ)はさまざまなクラウドサービスと連携が可能であり、かつ業務アプリをサンドボックス内に配置。隔離された作業環境を構築するため、仕事で利用する端末に重要なデータを残しません。情報の安全性を高く保ったまま、効率を落とすことなく業務を遂行できます。
詳しくは、以下よりご覧ください。