安全なSaaS利用のために注意したいセキュリティリスクと5つの対策方法
SaaS(Software as a Service)の利用が急速に普及するにつれて、その利便性とともにセキュリティの重要性もますます高まっています。SaaSを活用する際には、セキュリティに関するリスクとメリットを理解し、適切な対策を講じることが不可欠です。
本記事では、SaaS利用時のセキュリティのメリットとリスクについて紹介し、セキュリティを確保するための対策やポイントを解説します。
SaaSの普及とセキュリティの重要性
クラウドサービスの普及に伴い、クラウドベンダーは利用者が安全にサービスを利用できるようにセキュリティ対策に力を入れています。近年ではクラウドベンダーが高度なセキュリティ対策を施しているため、SaaSはオンプレミスと同等、もしくはより高いセキュリティ品質が保たれていることも多いです。
とは言え、セキュリティリスクがゼロということはなく、利用者側でも十分なセキュリティを施すことが重要です。特にほかの利用者とクラウド環境・アプリケーションを共有するマルチテナントのSaaSでは、不特定多数の利用者からアクセスできる環境下にあり、サイバー攻撃の標的となりやすいため、セキュリティリスクがあります。
セキュリティ対策が不十分な状態では、クラウド上に保存されたデータの消失や漏えいの恐れがありますので、適切なセキュリティ対策は欠かせません。
SaaSを利用するセキュリティメリット
SaaSを利用することで得られるセキュリティメリットを4つの観点から紹介します。
セキュアな環境でデバイスや場所を選ばずアクセスできる
SaaSはクラウド上のソフトウェアやサービスをネットワーク経由で利用するため、インターネットに接続できる環境であれば、デバイスや場所を問わずアクセスすることが可能です。自宅や外出先でも、PC・スマートフォン、タブレットなどの端末から安全にSaaSの利用ができるので、テレワークやハイブリッドワークにも柔軟に対応できます。
サービス利用のための環境構築・運用の手間が省ける
SaaSではクラウドベンダーが提供するソフトウェアやサービスを利用するため、自社でソフトウェアの開発、インフラ構築を行い、継続的に運用管理する手間やコストが不要となります。
SaaSではアプリケーションだけでなく、クラウドベンダー側のネットワークやOS、ミドルウェア、ハードウェアは全てクラウドベンダー側の責任範囲です。オンプレミスでのサービス利用と比較すると、セキュリティ対策に関わる環境構築・運用の負荷軽減につながるのが大きなメリットでしょう。
セキュリティ専門チームによるセキュリティ対策
オンプレミスの場合は社内にセキュリティ担当をそろえ、自社の責任下での継続的なセキュリティ対策が必要ですが、SaaSはクラウドベンダーのセキュリティ専門チームがセキュリティ対策を担います。
日々高度化・巧妙化するサイバー攻撃をはじめとするセキュリティリスクから情報資産を守るためには、高度かつ専門性の高いセキュリティ対策が欠かせません。
SaaSを提供するクラウドベンダーはセキュリティ品質を高める企業努力を続けているので、オンプレミスと遜色ないセキュアな環境を利用することが可能となるのです。
アップデートやパッチの自動適用によるセキュリティの強化
サイバー攻撃の被害を防ぐためにはソフトウェアやミドルウェアの情報資産を適切に管理し、漏れなくセキュリティパッチを適用させる「ぜい弱性対応」が欠かせません。
SaaSの場合、クラウドベンダーで管理する領域においてはクラウドベンダー側でセキュリティパッチの適用を行うため、情報資産の管理不全によるパッチの適用漏れを防ぎ、ぜい弱性の残存リスクを抑える効果が期待できます。
SaaS利用時のセキュリティのリスク
SaaSを利用するメリットは多いですが、同時にセキュリティリスクも存在します。
ここではSaaS利用で注意すべきセキュリティリスクを紹介します。
データ消失や情報漏えい
クラウド上でデータを保存・管理することによるリスクです。不正アクセスやサイバー攻撃によって、クラウド上に保管されたデータの消失や情報漏えいが起こるセキュリティリスクがあります。
特に、SaaSの場合は社外からのアクセスも容易になるので、セキュリティ対策が不十分であれば悪意のある第三者に不正アクセスを許すことになりかねません。信頼できるクラウドベンダーのサービスを選択することが重要です。
サービス停止による業務影響
クラウドベンダー側で管理する領域で障害が発生すると、提供しているSaaSサービスも停止することになります。サービス停止中はSaaSにアクセスできなくなるので、あらかじめサービス可用性や復旧計画の確認が不可欠です。
また、クラウドサービス自体がサービス終了となるリスクもあります。パッケージソフトの場合はソフトウェア提供元のサポートが停止しても利用を継続することは可能ですが、SaaSの場合はサービス終了に伴い一切利用ができなくなります。
万が一のサービス終了に備えて、オンプレミスに戻したり別のSaaSに移行したりできるように、汎用(はんよう)性の高いデータ形式での出力が可能か、データ出力にかかる費用・データ廃棄方法など十分に確認・検証するようにしましょう。
セキュリティに対する責任範囲が曖昧になる
SaaSの場合は、インフラ・ミドルウェア・ソフトウェアにあたる部分はクラウドベンダー側のセキュリティ対策範囲となります。他方、SaaS利用者側では、クラウドサービスに保存されるデータへのセキュリティ対策が必要です。例えば、ログイン時のID/パスワード管理や権限設定は利用者側の責務となります。
利用者側でセキュリティ対策に漏れがあればセキュリティホールとなり、情報漏えいや不正アクセスなどセキュリティインシデントにつながる一方で、SaaSごとに個別のセキュリティ対策を実施するのは現実的ではありません。例えばID管理であれば、複数のSaaSで利用しているIDや認証の一括管理ができる「ID認証サービス」を活用して、複合的に対策していくことが求められます。
SaaS利用者が対策すべきセキュリティ内容は、総務省からガイドライン(クラウドサービス利用・提供における適切な設定のためのガイドライン)が公開されているので、参考にするとよいでしょう。
セキュリティ確保のための5つの対策方法
SaaS導入時に、利用者はどのようなセキュリティ対策を行えばよいのでしょうか。
ここでは、SaaSを安全に利用し、セキュリティリスクを最小限に抑えるため、利用者側で実施すべき対策とポイントを紹介します。
ID/パスワードの認証設定・管理の強化
SaaS利用時のID/パスワードを適切に設定・管理することが重要です。例えば、英数字・記号を含む特定されにくいパスワードを設定する、パスワードの使いまわしは行わないよう周知する、退職者・異動者のアカウントはすぐに削除するなどの対策が有効となります。
また、ワンタイムパスワードやクライアント証明書などの多要素認証によるセキュリティ強化や、ID情報・認証情報の一元管理、ログのモニタリング、不正ログインといった緊急時のID停止など、複合的な対策を認証基盤として組み合わせることでセキュリティリスク低減につなげられます。
ほかにも、個人ID・企業IDの双方で利用できるSaaSや、社員が無許可でSaaSを利用する「シャドーIT」といったセキュリティリスク対策には、CASB(Cloud Access Security Broker)や、CASB機能の付いたセキュアGWが有用です。
アクセス環境による情報漏えい・持ち出しリスクの認識
同一SaaS内であっても、異なるテナントに相互にアクセスできる環境による情報漏えい・持ち出しリスクについて認識しておく必要があります。例えばBoxやGoogle Workspaceなど、企業IDと個人ID両方で利用できるSaaSの場合、会社のデバイスから双方のIDで認証し、会社データを個人データのテナントに移すことも可能です。こうした状況を防ぐにはCASB、あるいはCASB機能の付いたセキュアGWが有用となります。
また、SaaSに投入したデータの扱いについて、解約時に取り出しが可能かどうか、解約するとデータ消失となり取り出せない事態が起こらないかは、情報管理の観点から盲点になりがちです。一度サービス利用を始めると、やめられないようになっているのがSaaSの特徴です。解約した際にデータ消失となり、取り出せない事態とならないか、あわせて確認しておきましょう。
ネットワークセキュリティの強化
SaaSにアクセスするためのネットワークは、利用者側でのセキュリティ対策が必要です。安全にSaaSを利用するためには、通信経路の盗聴や未許可ネットワークを利用した情報漏えい、マルウェア感染などネットワーク起因のセキュリティリスクを軽減する対策を行わなければなりません。
とは言え、対策が必要なセキュリティ領域は広く、ひとつずつ対策していては手間もコストもかかります。
「SaaSを安全性の高いネットワーク環境で利用したい」「社内外からクラウドサービスにアクセスする際のセキュリティを確保したい」など複数のセキュリティ要件を満たし、最適なネットワーク環境を実現するためには、統合型セキュアネットワークサービスの導入が効果的です。
適切なクラウドベンダーの選定
SaaSを安全に利用するためには、信頼性の高いSaaSを選定することも重要です。導入検討時は、クラウドベンダーのセキュリティポリシーを確認するとともに、以下のような第三者機関による認証有無を確認しましょう。
- ISMSクラウドセキュリティ認証(ISO / IEC27001)
- CSマーク(クラウドセキュリティ・マーク
- CSA STAR認証(CSA Security)
- FedRAMP認証
- ECE StarAudit Certification
- SOC2(SOC2+)
また、クラウドベンダーとして適切なセキュリティ対策が実施されているかどうかのチェックも欠かせません。総務省が公開する情報セキュリティサイトの「サイバーセキュリティ関連の法律・ガイドライン」では、クラウドベンダーが行うべき主要なセキュリティ対策を定めているので、利用中のSaaSで必要十分なセキュリティ対策が実施されているか定期的に確認することも重要です。
セキュリティ意識の向上
SaaSを安全に利用するためには、社員一人ひとりのセキュリティ意識も重要です。例えば、以下のようなルールを定めたガイドラインを策定したり、定期的に社内研修を実施したりといった対策でセキュリティ意識の向上につなげましょう。
- 修正プログラムは速やかに更新する
- 安易なパスワードを設定しない
- 離席の際は画面ロックをかける
- シャドーITを利用しない
- フリーWi-Fiを利用しない
万全のセキュリティ対策で快適にSaaSを利用しよう
SaaSには多くのメリットがあるものの、「不正アクセス」「情報漏えい」「データの消失」「サイバー攻撃」などのセキュリティリスクも伴います。安全にサービスを利用するためにも、セキュリティリスクを正しく認識したうえで、必要なセキュリティ対策を実施しましょう。
インテックでは、セキュリティ課題を解決するさまざまなサービスを提供しています。これまでの実績と専門的な知識でお客様の課題に寄り添い、最適なソリューションのご提案を行います。
*『セキュリティに関連する商品・サービス』は、こちらのページをご覧ください
インテックのセキュリティサービスの特長TISインテックグループの自社プラットフォームサービスブランド「EINS WAVE」
『EINS WAVE(アインス ウェーブ)』は、共に課題を解決するパートナーとして、お客様のビジネスを支える最適なプラットフォームをスピーディに提供することを理想としたTISインテックグループの自社プラットフォームサービスブランドです。
クラウドサービスやネットワークサービス、データセンターサービスを中心に、お客様のビジネスの可能性を広げるIT製品・サービスなど、TISインテックグループの持つ豊富なラインナップを導入から運用までトータルにご提供します。
*こちらの記事で「EINS WAVE」誕生の背景と今後のビジョンをご紹介しています。
関連記事 いち早くIT-BCPの重要性を見通し、ネットワークとシステムのワンストップ体制を提案
「EINS WAVE」でインテックが世に問うたもの
公開日 2024年07月04日
資料ダウンロード
-
海外製SASEの導入で生じる課題と原因とは
本書は、コロナ禍で海外製SASEを導入した企業が抱える課題と、その原因を明らかにしたうえで、有効な解決方法を提案します。
自社に最適なネットワーク環境を構築して運用の負担を軽減したいと考える、社内ネットワークの運用管理者やセキュリティ担当者は、ぜひご覧ください。 -
いま求められるITインフラとセキュリティのあり方とは?
本書は、デバイスを利用する場所を問わずに一貫したセキュリティ対策を実施し、同時に、業務に必要なITサービスへのアクセスを容易にする方法を紹介します。
セキュリティ対策について悩みを抱えている社内ITシステム担当者の皆さまは、ぜひご覧ください。
お問い合わせ
Webから問い合わせるあわせて読まれているコラム
関連する商品・サービス
- EINS WAVE
- 共に課題解決するパートナーとして、お客様のビジネスを支える最適なプラットフォームをスピーディーに提供したい。
その理想をカタチにしました。
- 統合型セキュアネットワークサービス
- お客様拠点間やパブリッククラウドを快適に・セキュアに接続するマネージドネットワークサービス。閉域網やオープンなネットワークを統合管理します。
- インターネット分離サービス
- インテックのインターネット分離サービスは、仮想ブラウザ技術を用い、初期コストや運用コストを抑え、インターネット分離(Web分離)を開始でき、素早くセキュリティ対策と利便性を両立したマルウェア・ウィルス対策を実現します。
- WAF構築サービス
- 公開Webサービスへの攻撃などの脅威に対応するためのサービス