
働き方の変化に伴い、クラウドサービスの利用が急激に増加しています。
今や業務を行う上で欠かせないものとなっているクラウドサービスは、大きく社内OA系業務(O365などのメールやファイル保管・共有)で用いるSaaS、ビジネスや業務システムの基盤(仮想サーバやネットワークなどデータセンター)のIaaS、PaaSがあります。
その中でもSaaSは導入が容易なことから、IT部門を介すことなく現場部門が導入を主導し契約に至るケースも見受けられます。
現場部門主導による導入の場合はIT部門の統制が効かないため、十分なセキュリティリテラシーを持たない社員によって選定が行われることにより、セキュリティに問題があるサービスが導入されるというリスクがあります。
このようなリスクに対しどのように対策を講じればよいのでしょうか。
今回はSaaSの選定、導入時に注意すべき点について考えてみたいと思います。
SaaS(Software as a Service)とは
SaaSとは「Software as a Service」の略称で、インターネットを通じて提供されるアプリケーションのことです。契約締結後に月額もしくは年額で利用料金を支払うことで、利用開始できます。
インターネット経由で使用可能なため利用場所を問わない、管理はSaaS事業者側が行うため手軽に利用でき、不要になった際は契約を終了すればよい、などのメリットがあります。
利便性が高く、ハードウェアやソフトウェアのライセンス料の支払いを必要とせずに初期費用を抑えることができる点から、特にコロナ禍以降、利用が増加しています。
注意すべき点として、SaaSの選定時はメリット(ロケーションフリーであることや機能面)に意識が向きがちですが、セキュリティに関しても十分考慮する必要があります。
SaaS利用におけるセキュリティリスク
SaaSは便利な一方、事業者側の管理下に置かれている範囲が広いことから、利用者側で行うことのできるセキュリティ・脆弱性対策が限定的ともいわれています。
弊社のお客様でも、契約しているSaaSのセキュリティ・脆弱性への対策が十分か課題を持っている、というお声を寄せていただいたことがあります。
SaaSを使用する上で想定されるセキュリティリスクには、以下のようなものがあります。
・悪意の有無を問わず、外部へのデータ持ち出しが容易
・いつ/誰が/どんなデータを/保存/操作したのかわからない
・業務優先となりIT部門の統制が効かない
・SaaS事業者側のセキュリティ対策の不備による、保存情報の漏洩
・サービス解約やディスク交換時などにおける、情報削除の証跡の非公開
・サービスの突然停止による業務停止および情報消失
上記のようなリスクを回避するための対策のひとつとして、SaaS選定時にサービス提供会社の信用、契約内容、サービス提供インフラのセキュリティ対策の実施状況などが、自社のコンプライアンスに合致しているか確認することが有効です。
選定、導入時の注意点
SaaSの利用者は、セキュリティ上のどのような点に注意して導入検討を行えばよいのでしょうか。以下に例を記載します。
・SaaS事業者がセキュリティ認証等(例: ISO 27001、SOC 2、HIPAAなど)を取得しているかを確認する。
・事業者が公開しているセキュリティポリシーやセキュリティガイドラインを確認する。
・SLA(Service Level Agreement)を締結する。
上記以外にも、第三者機関から得られる評価情報を活用することで自社の負荷を減らし、セキュリティ的に安全かどうか客観的に評価するという方法もあります。
第三者機関の活用
企業内部でSaaSを含めたクラウドサービスの選定を行う際は、判断するための情報収集や一定基準での利用可否検討が行われますが、この作業に多大な工数が費やされていることが問題視されています。
これらをスピーディかつ客観的に判断するためには、クラウド環境の信頼性評価を行っている第三者機関などから得たリスク評価情報を利用することが有効です。
GRCSでは、第三者機関の評価情報を基にしたリスクレポートで新規クラウドサービス利用審査を支援する「クラウドサービスリスク審査支援」サービスを提供しています。
クラウドサービスリスク審査支援
第3者機関の評価情報を基にしたリスクレポートで、新規クラウドサービス利用審査を支援
https://www.grcs.co.jp/consulting/cloud_service_risk
クラウド利用申請時のサービス評価をGRCSが代行することで管理者の負荷を減らし、客観的に評価するサービスです。ご興味のある方はお気軽にお問い合わせください。
まとめ
ビジネスを成長させる上で、SaaSをはじめとするクラウドサービスの利用は欠かすことができません。
一方で、企業としてサービス利用を許可するかについては、ビジネス面、安全面等、様々な観点で審査、判断をした上で利用可否を決定する必要があります。
審査は重要ですが、利用申請が多くIT部門が本来やるべき業務に支障が出ている場合は、第三者機関による評価サービスを活用するということを検討してもよいのかもしれません。
■関連情報
今考えるべき、クラウドサービスのセキュリティとガバナンス ~ ゼロから理解するSaaS利用におけるセキュリティとCASB ~
■あわせて読みたい
CASBとは?機能やメリット、導入のポイントをわかりやすく解説