SaaS利用に必要なセキュリティ対策とは？ガイドラインに基づいた課題解決方法を解説

近年、利用が広まっているSaaS。一定のセキュリティを保って社外からも接続できるSaaSは、テレワークの広がりも受け、今や企業にとって欠かせないサービスといえます。ただし、業務でのサービス利用にあたってはメリット・デメリットを踏まえセキュリティリスクに備える必要があります。

今回は、SaaSの基本的な概要を解説します。サービスを利用するにあたっての必要なセキュリティ対策について考えてみましょう。

SaaSとは、Software as a Service（サービスとしてのソフトウェア）の略称であり、インターネットを通じて利用可能なクラウドにあるサービスのことを指します。代表的なSaaSとしてはMicrosoft365やGoogle Workspaceがあります。

インターネット環境が整っていれば、どこからでも接続可能であり、利用端末が異なっていてもSaaSのアカウントにアクセスすればサービスを利用できます。また、複数のチームや人数での同時作業・編集・管理が可能となる特徴もあります。

SaaSに似たサービスに「PaaS」や「IaaS」があります。これらはすべて、クラウドサービスの一種です。

従来では、ソフトウェアを利用やデータの編集には、対象のソフトウェアを端末にインストールしたり、データを保存する社内サーバーにアクセスしたりする必要がありました。クラウドサービスではすべてネットワークを経由して機能を活用するため、システム構築・管理、サーバーの保守といった必要がありません。

「PaaS」とは、Platform as a Service（サービスとしてのプラットフォーム）の略称であり、アプリケーションソフトが稼働するためのデータベースや、プログラムの実行環境を提供するサービスのことです。アプリケーションを開発する際に、必要な環境準備を省略できるといったメリットがあります。

「IaaS」とはInfrastructure as a Service（サービスとしてのインフラ）の略称です。情報システムを稼働する際に必要な仮想サーバーやファイアウォールといったインフラを提供するサービスのことを示します。

これらのクラウドサービスは急速に普及しています。普段利用しているサービスが、クラウド上で稼働しているものであることは、もはや珍しくないといっていいでしょう。

SaaSには、「端末を問わずに利用できる」「システム構築や保守の手間が不要」といったメリットがある一方で、データが社内ネットワーク上に限定されていないことから、「利用端末のセキュリティ対策が必須」「障害発生時に利用できなくなる」といったデメリットがあります。以下に、詳しく見てみましょう。

SaaSの代表的なメリットは、以下の4つがあげられます。

• 端末を問わずに利用が可能

SaaSは、ソフトウェアの機能・データがクラウド上にあるため、インターネット接続が可能な環境であれば、どこでも利用可能です。オフィスでパソコンを使って作業したあと、外出先からスマートフォンでデータの登録・編集を行うといった機動性の高い働き方が可能になります。

• 導入スピードが速い

多くのSaaSはアカウントを作成するだけで利用が可能です。これまでのソフトウェアのように個々の端末にアプリケーションをインストールして設定しなければいけないという手間を省略できるため、サービス導入から利用開始までの時間を短縮できます。

• インフラの運用や管理の手間が不要

SaaSを利用する際、サーバーやネットワークなどのインフラを構築する必要はありません。メンテナンスもすべてサービス提供側が行うため、情報IT部門の負担を削減できます。

• 自動でアップデートが行われる

サービスの内容がバージョンアップされた際、SaaSはインターネットに接続した際に自動でアップデートされたものを利用できます。従来のように、端末ごとにバージョンアップする手間は不要です。

SaaSのデメリットには、以下のものがあります。

• カスタマイズに制限がある

SaaSの場合すでにパッケージ化されているサービスのため、自社の状況に合わせてカスタマイズできる範囲に限界があります。

• 連携しているサービス以外、データ移行が困難

人事評価制度や給与管理、顧客管理などさまざまな業務に関連したSaaSが提供されています。新しいサービスへ切り替える際にデータ移行が必要になりますが、サービス連携がされていない場合、データ移行ができず切り替えが難しい可能性があります。

• 障害発生時など利用が不可能になる

SaaSを提供する側になにかしらの障害が発生した場合、サービスの利用ができなくなります。また、自然災害等でインターネット回線が接続不能になった場合も利用ができません。また、サービス提供者がメンテナンスを行っている時間帯に、一時的に利用不可能になる場合もあります。

• 利用端末のセキュリティ対策が必須

SaaSサービスの利用にあたっては、ユーザーが使う端末のセキュリティ対策は利用者側が責任を負います。BYOD（Bring Your Own Device）のように端末が私的利用も兼ねる場合もあり、ユーザーのセキュリティ意識が欠かせません。SaaS利用にはID・パスワードが基盤となるため、ユーザー情報のセキュアな管理が求められます。

SaaSの利用にあたり、気になるのはオンプレミスと比較した際の安全性でしょう。オンプレミスとは、自社内で情報システムを構築・運用する形態のことをいいます。限定された社内ネットワークに情報が保存されているため、高いセキュリティを保っていると考えられてきました。

しかし、昨今のサイバー攻撃やマルウェア感染といったセキュリティのリスクを考えると、アクセスできるユーザーや端末が限定されたオンプレミスであっても安全とは言い切れません。悪意をもったメールからのウイルス感染や不正アクセスなど、セキュリティウォールが突破される可能性はどこにでも潜んでいるからです。

従来はインターネット上にあるという点で安全性が懸念されていたSaaSですが、サービス提供側はセキュリティリスクを想定した対策を続けています。セキュリティ対策に投資できるコストや専門の人材が集結している点からも、SaaSの安全性はオンプレミスのデータ管理と比較しても非常に高く保持されていると認識されています。

SaaSの導入検討にあたっては、サービスを提供する側がどのようなセキュリティ対策を行っているかをチェックすることが大切です。以下に、確認するべきポイントをまとめました。

サービスを提供している事業者が信頼できるかどうかを確認しましょう。信頼性を確認する指標としては以下のようなものがあります。

・サービスの導入社数やユニークユーザー数

・サービス提供者の情報セキュリティ商品や、関連する認証・認定制度

・公開されているサービス提供事業者の財務情報

情報セキュリティに関連した認証は、サービスが開発プロセスなど様々な観点から国際・国内基準をクリアしていることを示します。SaaSの安全性・信頼性を確認するために、重要となる指標のひとつです。また、ヘルプデスクやQ&Aといったユーザーのサポートが提供されているかどうかも、信頼性を判断するポイントになります。窓口の対応時間や連絡方法が、自社の就業時間や運用ルールに合っているか確認しましょう。

SaaSでは、クラウド上に保存するデータなど情報の安全性確保がサービス提供者にゆだねられている部分があります。この部分に関しては、ユーザーが直接管理することはできません。そのため、検討しているSaaSにおけるセキュリティ対策について確認しましょう。

たとえば、サイバー攻撃やあった場合に通信の暗号化やマルウェアの感知といった対策が十分になされているのかどうか。また、利用するSaaSのデータがどの国や地域に設置されたサーバーに保存されているかも重要な確認項目です。また、データ保存先の地理的所在地も確認しておきましょう。サーバーの位置や取り扱う情報によって、関連国の個人情報保護に関わる法律を遵守することが求められます。

SaaSを導入するにあたっては、社内の管理者と利用者の範囲を決定します。管理者には、SaaSの技術的側面も理解し、社内で適切な運用ルールを確立できる人を選びます。そのうえで、サービスを利用する社内の対象者を決め、アカウントによって使用できる機能や与える権限の範囲を決定しましょう。

たとえば利用するデータの重要度も鑑みながら、閲覧や編集できる情報の範囲をアカウントごとに設定することも、情報セキュリティを高める方法のひとつです。

SaaSはID・パスワードがあればインターネット回線を通じてどこからでもアクセスができます。そのため認証情報の管理が重要になります。社内で管理者を決めたのち、SaaS利用のための運用ルールを確立させましょう。その際、ID/パスワードの共有はしない、利用する端末に認証情報を残さない、セキュリティ強化のために二段階認証を用いるといったルールを徹底させることが重要です。

SaaSが直面するセキュリティの脅威に対して、対策が具体的に公開されているかどうかも、サービスの信頼性と安全性を判断するポイントになります。サイバー攻撃に対して、通信の暗号化や侵入検知といった対策を施しているかどうか。また、サービスで使われているソフトウェアの脆弱性対応やセキュリティパッチの適応について、随時情報を公開しているかどうかも確認しておきましょう。

利用するSaaSが終了した場合のデータの取り扱いについても確認しておく必要があります。確認するポイントは、以下の3点です。

・利用期間をさかのぼり、全データを返却、またはダウンロードできるか

・他サービスとデータフォーマットの互換性があるか

・サービス終了後、データがシステムから完全に削除され、再利用できない状態になることが保証されているかどうか

また、サービス終了にあたって新たなSaaSの導入を検討する際は、過去データを一括で反映できる機能が搭載されているサービスを選ぶことで、運用上の影響を最小限に抑えることができます。

SaaSは、インフラの構築や保守というコストを軽減し、かつインターネット回線さえあればどこからでも接続が可能という点で、業務を効率化します。しかし、サービス提供者の安全性や信頼性を確認するとともに、技術的なセキュリティ対策と厳格な運用ルールを講じて、情報の安全性を高めることが重要です。

moconavi（モコナビ）はさまざまなクラウドサービスと連携が可能であり、かつ業務アプリをサンドボックス内に配置。隔離された作業環境を構築するため、仕事で利用する端末に重要なデータを残しません。情報の安全性を高く保ったまま、効率を落とすことなく業務を遂行できます。