1. SaaS導入で得られるセキュリティ上のメリット

SaaS導入は便利なだけでなく、企業によっては従来よりも高度なセキュリティを導入することにつながるケースもあります。というのも、SaaSを導入することで

• データベースを一本化できる

• メール経由の漏えいを回避できる

• 老朽化したシステムを脱却できる

といったメリットが期待できるためです。

1-1. データベースを一本化できる

クラウドストレージや顧客管理システムを導入することで、社内情報を全てSaaSのデータベースに一本化し、情報漏れのリスクや不正アクセスのリスクを回避可能です。

これまで従業員の自主管理であったり、パスワードもかけられていないようなUSBストレージ保管であったりするようなデータ管理を行なっていた場合、SaaSへの移行で統合管理することができます。

誰がどこに、どんな情報を扱っているかを一目で把握でき、漏えいのリスクを小さく抑えられます。

1-2. メール経由の漏えいを回避できる

SaaSのコミュニケーションツールに社内の情報共有を一本化すれば、メールなどを使用する際のセキュリティリスクを回避できます。

メール経由のマルウェア感染などは依然として各社で多く確認されていますが、チャットツールなどを導入し、コミュニケーションをそちらに統合することで、不審なメールなどに触れる機会を減らすことができるでしょう。

1-3. 老朽化したシステムを脱却できる

社内で使用しているシステムがセキュリティアップデートも行えないほど老朽化している場合、SaaSへの移行がそのままセキュリティ強化につながるでしょう。

SaaSはベンダーがシステムの維持管理を行うサービスであるため、セキュリティ対策についても委託することができます。会社のセキュリティ環境が古くなっている場合は、セキュリティ強化の一環としてもSaaS導入が有効です。

2. SaaS利用に伴うセキュリティリスク

上記の通り、SaaS導入はセキュリティ強化に直接貢献する施策としても注目されていますが、一方でSaaSの利用そのものがセキュリティリスクをもたらす可能性についても懸念されています。

2-1. セキュリティ対策がベンダーに依存する

SaaSの導入は、自社のセキュリティ環境が脆弱であった場合はセキュリティ強化につながりますが、既存の対策が十分に行われている場合、かえって脆弱性をもたらす可能性があります。

SaaSそのもののセキュリティ対策はベンダーに依存するので、自社のセキュリティ要件をサービスに適用することができないためです。また、ベンダー側の対策に問題がある場合、容易にサイバー攻撃の被害を受け、その影響が自社全体に広がる可能性もあるでしょう。

2-2. アカウント情報の漏えいに弱い

SaaSは専用のアカウントを作成して利用するサービスですが、社員の誰か一人でもそのIDを外部に漏らしてしまった場合、不正アクセスを誘発する可能性があります。

不審なアクセスについてはすぐに検知しアクセスを回避できるサービスもあるものの、正常のアクセスと認識されたものについては回避が難しく、重大な情報流出などを引き起こす可能性が出てきます。

2-3. 通信環境の脆弱性までは防げない

また、インターネット環境そのものに脆弱性を抱えている場合は、それが原因でサイバー攻撃を受ける可能性もあるでしょう。SaaSはリモートワークの導入などを推進できるサービスですが、従業員の自宅のネット環境などに問題があると、不正アクセスにつながりかねません。

3. 通信環境の脆弱性までは防げない

上記のようなSaaS利用に伴うセキュリティリスクを回避するため、SaaSユーザーは以下のような対策を実践することが大切です。

3-1. アクセス権限を細かく設定する

SaaSは便利なツールですが、IDとパスワードさえあれば簡単にアクセスができるという側面もあります。これらを厳重に管理することを従業員に求めていても、ケアレスミスで外部に漏れてしまう可能性をゼロにすることは困難です。

そこで、従業員の役職ごとにアクセス権限を細かく設定し、容易に機密性の高い情報に触れられない環境を構築しましょう。こうすることで、仮に外部にアカウント情報が漏れてしまった場合も、アクセス権限がそのアカウントの有する範囲に限定されるため、流出を最小限に抑えられます。

3-2. SaaS利用のルールを厳格化する

SaaS利用に当たっては、どのような業務で、どこでどのように使用して良いのかを細かく決めておくことも大切です。

例えば、クラウドサービスであればなんでも良いというわけでなく、決められたサービスを、決められた業務内で使用するよう仕組み化することにより、ID情報が流出してしまうようなインシデントを回避できます。

3-3. 別途社内セキュリティを強化する

SaaSに対して施せるセキュリティ施策は限られている以上、それ以外の部分でセキュリティを強化する取り組みも検討しましょう。

例えば基本的な社内のセキュリティアップデートやセキュリティソフトの導入は、必ず実施すべき施策です。また、不正アクセスの検知システムを導入して、サイバー攻撃を受けた際に素早く検知し、データをシャットアウトできるような仕組みも備えておきましょう。

4. セキュリティリスクの小さいSaaS選びのポイント

また、そもそもセキュリティ対策の行き届いたSaaSを選定することもリスク回避においては重要です。製品選びのポイントとしては、以下の点が挙げられます。

4-1. ユーザーの責任範囲を確認する

まず、SaaSベンダーが定めるユーザーの責任範囲を確認しましょう。ベンダーはインシデント発生の際、どこまで責任をとってくれるのかを把握し、それに応じたセキュリティ対策を自社で施す必要があります。

4-2. ISO取得状況などを確認する

ISO認証など、客観的に評価できる実績を持ったSaaSを選びましょう。優れたセキュリティ対策をどのように実現しているのかを確認して、自社のリスクを回避する姿勢が重要です。

4-3. サポート体制を確認する

万が一のインシデント発生の際、安心して頼れるサービスであるかも確認しましょう。24時間のサポート対応や、電話やチャットを使った早急な対応を期待できるかなど、信頼性の高い環境が整備されたサービスを優先的に検討したいところです。

まとめ

この記事では、SaaS利用に伴うセキュリティリスクの存在や、どのようにSaaS利用のリスクを回避するかについて紹介しました。

サイバー攻撃のリスクをゼロにすることは、どのような方法を用いても不可能に近いものですが、製品選びや社内環境の見直しで意識的に取り組むことにより、最小限に抑えることはできます。現在の社内のセキュリティ対策状況や、SaaSそのもののセキュリティ要件について把握の上、サービス導入を進めましょう。