SaaSとは「Software as a Service」の略です。
Office365、Salesforceなどのソフトウェアをインターネット上で利用できます。
ユーザーはハードウェアやネットインフラを購入する必要がありません。
最近はテレワークが進み、自宅でビジネスができるようになりました。
SaaSはクラウドサービスの一つと捉えてください。
SaaS利用時のセキュリティの課題を解説します。
目次
SaaSのセキュリティ対策の必要性
企業や個人のパソコンなどシステムに不正アクセスをしてデータを盗み取る事件が多発しています。
事業が保持する情報量が膨大に増加し、個人情報保護法のもと個人情報の取り扱いも厳しくなっています。
そのためセキュリティ対策を施したシステム構築が重要になるのです。
SaaSにはどのようなセキュリティ対策が行われているのでしょうか。
実はSaaSにおいてセキュリティ対策はベンダー側とユーザー側では異なります。
SaaSのセキュリティは基本的にはベンダー側が管理しなければなりません。
ただし、ユーザー側も社内で使う端末のセキュリティや情報管理は厳しく求められるのです。
また、SaaSを利用するユーザーはベンダーがどこまでセキュリティ対策を施しているかもチェックしなければならなりません。
SaaSの仕組み
これまでのソフトウェア・サービスは、ユーザーが必要なソフトウェアをダウンロードして利用するのが一般的でした。
SaaSはユーザーがクラウド上にあるソフトウェアをインターネット経由で利用するサービスです。
SaaSはソフトウェアをダウンロードせずにそのままインターネット経由で利用できる仕組みとなります。
ユーザーがソフトウェアやネットワーク、運用や保守といったことを気にせずアプリケーションだけを利用すればいいのです。
SaaSが提供する主なサービスがこちらになります。
- GmailやYahoo!メールのようなフリーメールサービス
- Dropboxなどオンラインストレージサービス
- SNSやブログ
- クラウドECシステムの構築
- Office365などのビジネスソフト
特にDropboxはユーザーが利用するクラウドのコンテンツ・ドキュメント・Webショートカットなど一括管理できるフォルダーです。
Dropboxで管理すれば重要な書類も安全に共有できます。
またパソコン以外にもスマートフォンやタブレット端末からもアクセスできるので、使う場所を選びません。
仕事で共有するファイルを誤って削除しても復活が可能です。
さらにデータのバックアップとしても活用できます。
マーケティングツール導入・活用の事例はこちら
SaaSを導入した場合のセキュリティ面でのメリット
SaaSのセキュリティのメリットは、ベンダーに一任できることです。
そして、オンプレミスで管理していたのに比べてはるかにセキュリティが高くなっています。
オンプレミスとはシステム構築に必要なサーバーやソフトウェアなど情報システムを自社内で設置・運用することをいいます。
自社で管理運営するためにはコストがかかるのです。
またインフラの拡張の際は作業に時間もかかるといったデメリットがあります。
具体的にSaaSを導入した場合のセキュリティのメリットについて解説していきます。
ユーザーが負うべき責任の範囲の小ささ
SaaSを導入した場合、OSやアプリの脆弱性、システム障害の発生は全てベンダーの対応となります。
ユーザーはパソコンやスマートフォンなど端末のセキュリティ管理や動きに注力していればいいのです。
その結果、管理者が負うべき責任の範囲が限定され、セキュリティのノウハウや経験が浅い企業でも高いセキュリティ環境が構築できます。
オンプレミスよりも高い安全性
ベンダーはサイバー攻撃やマルウェア感染などセキュリティに関するトラブルが発生しないようにあらゆるリスクを想定して対策をします。
万が一、ソフトウェアを使ったユーザーの個人情報などが漏洩したらベンダー側のダメージは大きくなります。
そのためベンダーはセキュリティのエキスパートを集め対策を行い、被害が起きても最小限度で抑えられるように対応しているのです。
また、不特定多数のユーザーがインターネット上で閲覧するため、ベンダーは認証機関からの評価プロセスの開示する対応も行っています。
支援実績やコンサルティングの詳細は、実績・事例紹介のページをご覧ください。
サービス側とユーザー側それぞれのセキュリティ対策
クラウドセキュリティ管理については責任分界点という考え方があります。
クラウドの種類によってどちらがどこまで責任を負うかをいうことです。
ここからはサービス側とユーザー側それぞれのセキュリティ対策について解説します。
SaaS利用の際は是非参考にしてください。
サービス側のセキュリティ対策
サービス側が担うセキュリティ対策は、ハードウェア、ネットワーク、OSやミドルウェア、運用・保守などです。
サービス側は提供するソフトウェアを管理するため、ユーザーはコントロールはできません。
ただソフトウェア・サービスを充実させるためにベンダーは高度なセキュリティ対策を行っています。
そのセキュリティのレベルは機密情報を扱う組織と同じかそれ以上だといわれています。
ユーザー側のセキュリティ対策
ユーザー側が担うセキュリティ対策は、SaaSを利用する端末と人に関することです。
パソコンやタブレットにセキュリティソフトを入れるのはユーザー側の責任になります。
ユーザー側が徹底しなければならない対策は以下の通りです。
- アクセス権限
- ID・パスワードの管理
- パスワード再発行の手続き手順のルール化
- サイバー攻撃に対する社員教育
不特定多数の社員が閲覧できるため、権限をあらかじめ設定してください。
閲覧・編集・プログラムの事項など細かく権限設定することでデータの流出のリスクが低くなります。
また、パスワードの定期的な更新さらに第三者にID・パスワードを教えないなどルールを徹底しましょう。
サイバー攻撃に関する社員教育も欠かせません。
実はセキュリティでは人の管理が非常に重要なのです。
SaaS利用時の具体的リスク
SaaSを利用する際のリスクについて具体的に見ていきましょう。
ID情報の流出によるなりすまし
昨今、IDとパスワード情報の流出によるなりすましの脅威が増加しています。
フィッシングなどなりすましログイン被害が6割にのぼるといわれています。
こうした外部からの攻撃を防ぐ方法は、IDとパスワードを使った認証が正規のものか監視が必要です。
具体的には、多要素認証が効果的です。
ログインの際にユーザーに複数の要素を要求する認証形式でワンタイムパスワードがよく知られています。
その他、秘密の質問に対する答えを要求するものもセキュリティを高める有効手段になります。
ただ一方で、ユーザーにとっては使いづらいといった意見があるのも事実です。
こうした中で今注目されているのが不正検知システムです。
多くの企業でも導入されているシステムで、高精度に不正アクセスが探知できるといわれています。
多要素認証のようなユーザーにストレスをかけずに済むのもメリットです。
不正検知システムを利用すれば以下の情報がチェックでき不正アクセスを未然に防ぐと期待されているのです。
- 端末情報
- 配送先情報
- 名前や住所表記の揺れ
- IPアドレス
- 購入頻度や買い物の傾向
マルウェアによる攻撃
マルウェアとは不正かつ有害な行動を行う目的で作成された悪意のあるソフトウェアや悪質なコードの総称です。
トロイの木馬やスパイウェアなどがあります。
主な目的は個人情報などの不正取得や改ざん、破壊を行い、不特定多数を無差別に攻撃したり、特定の企業を狙ったりします。
いずれもWindowsやOSの脆弱性を利用して侵入するケースが多く、セキュリティソフトでも検知が困難なケースもあるのです。
内部不正
外部からのサイバー攻撃以上に危惧されているのが内部不正による機密情報の持ち出し、漏洩などです。
故意によるものと事務処理ミスで漏洩するものがあります。
故意によるものは圧倒的に中途退職者によるものが多いことが判明しています。
企業としてもイメージダウンに繋がる恐れがあることから告発まで進まないといった課題もあるのです。
そのため微細なケースまで入れれば発生件数はかなり多くなるのではないかといわれているのです。
解決方法としては監視を強化すること、細かく権限をつけること、多要素認証や外部記憶媒体の利用制限などがあげられます。
さらに秘密保持契約の締結やセキュリティ教育、コンプライアンス研修などを定期的に行うことも推奨されています。
マーケティングツール導入・活用の事例はこちら
SaaS利用時のセキュリティ対策
SaaSのセキュリティはベンダーに依存するばかりでは真のセキュリティ対策とはいえません。
自社で行える対策をしっかり施すことこそが重要なのです。
例えばID・パスワード情報は特定の人だけが管理し使い回しをしない、パスワードも単純なものではなく英数字を組み合わせたものにするなどしてください。
もう少し具体的にセキュリティ対策について解説します。
アカウント・権限情報
情報権限は、情報セキュリティの観点からアカウントごとに設定する必要があります。
権限は管理者用とそれ以外で大きく分類します。
さらに管理者以外の権限には閲覧のみ・登録や削除などで分けて管理しましょう。
ユーザー名とパスワード認証のほか、ICカードによるユーザー認証、指紋認証なども有効でしょう。
パスワードの発行には正式な手続きを行って適正に管理されているか定期的にチェックすることが重要です。
ユーザーデータ
SaaSではユーザーデータをクラウドサービスへアップロード後、ファイルの自動暗号化により漏洩対策ができます。
クラウドサービス上のメールやファイルのマルウェアを検知して攻撃から防御する対策も設定しておきましょう。
通信路・通信データ
SaaSではインターネットを経由してクラウド上のデータを利用するため、データ改ざんのリスクを回避するには通信データの暗号化は必須となります。
また通信経路の盗聴や未許可のネットワークを利用したアクセスを制御することも重要です。
ベンダーを選ぶときのチェックポイント
SaaSの場合、データやコンテンツより上位層にあるアプリケーションやネットワークなどのセキュリティ対策はベンダーが行います。
そのためユーザー側は運用コストが軽減できるわけですが、SaaS導入前のベンダーのセキュリティ対策を確認しておくべきでしょう。
例えば、データの取り扱い条件はどうなっているのか、セキュリティポリシーや資料を確認しましょう。
セキュリティ情報が開示されていることもチェックすべきポイントです。
また、ベンダーのセキュリティ対策は第三者機関による認証を取得しているかも重要なポイントになります。
ベンダーとユーザーでは責任の捉え方が異なります。
何か障害が起こったらどこまでベンダーに責任があるのか責任分界点を確認しましょう。
支援実績やコンサルティングの詳細は、実績・事例紹介のページをご覧ください。
SaaS利用時に導入するべき3つのセキュリティサービス
巧妙化するサイバー攻撃は近年大きく様変わりしてきていて、従来型のセキュリティ対策だけでは十分とはいえません。
そこでオフィスだけでなく自宅でも早期に検知できる対策が求められるのです。
サイバー攻撃を受けてプロセスで何か変な挙動を見つけたら可視化できる環境が望まれます。
SaaS利用時に導入を検討すべき3つのセキュリティサービスを解説します。
IDaaS
IDaaSとは「Identity as a Service」の略でクラウド上のID管理・認証サービスを行うセキュリティツールです。
ID管理のほか、シングルサインオンや多要素認証、ログ・レポート機能など多彩なサービスを提供します。
さらに不正アクセスの軽減とユーザー行動の可視化ができます。
シングルサインオンとは、一つのクラウドサービスなどにログインできれば、他のサービス利用時にアカウント情報なしでログインできる仕組みです。
パスワードを書いたメモなど無くしてもログイン不可にならずに済みます。
またパスワード流出による情報漏洩のリスクも回避できると期待されます。
DLP
DLPは「Data Loss Prevention」の略で情報漏洩を防ぐためのシステムです。
従来のものと違う特徴はデータそのものを監視して漏洩を防ぐため高い効果が期待できるのです。
特定データのコピーや持ち出しを検知すれば即座にブロックされる仕組みになっています。
従来のシステムでは正規のユーザーがアクセスしてきた場合、情報のコピーや持ち出しを防ぐことは困難でした。
DLPを使えばデータそのものを監視できるので正規ユーザーによる情報漏洩を未然に防ぐことができます。
EDR
EDRは「Endpoint Detection and Response」の略でスマートフォンやパソコンなどのデバイス機器をエンドポイントとして位置付け、監視を行います。
エンドポイントは情報ネットワークに接続された端末機器のことで、パソコンやスマートフォンなどです。
マルウェアの検知やブロックだけでなく端末に侵入した脅威を隔離してくれます。
感染後の被害を最小限に抑えるセキュリティといえるでしょう。
マーケティングツール導入・活用の事例はこちら
SaaSのセキュリティ対策に不安を感じたら
セキュリティ対策システムの導入を考える際に、どこのベンダーを使えばいいか、自社がどこまで対応したらいいのか不安になるかもしれません。
そのような場合はデジマクラスがお手伝いいたします。
自社が抱えるセキュリティ上の問題を洗い出し最適なツールを紹介します。
導入後の動作確認や問題点などのチェックなども行いますので一度相談してみてはいかがでしょう。
まとめ
サイバー攻撃や機密情報の持ち出しなど手口が年々巧妙になってきています。
情報セキュリティシステムは不具合や矛盾がなく動作できることが求められます。
また、故意あるいは不注意で情報を漏洩するリスクを未然に防ぐことも欠かせません。
SaaSのセキュリティ対策はベンダーだけでなくユーザーも一緒になって取り組むシステムです。
自社の環境に合ったシステムを導入することが大切です。
最新のセキュリティシステムで自社の情報漏洩を防ぎましょう。