「SaaSのセキュリティ対策について悩んでいる」
「SaaSのセキュリティ対策を推進していきたい」
システム構築が不要かつ低コストで早期導入することができるSaaSやクラウドサービスの数々ですが、近ごろでは、SaaSサービスにおけるセキュリティの問題が指摘されるようにもなってきました。
SaaSのセキュリティ評価を軽視して導入を決定してしまった場合、最悪「顧客情報の漏えい」や「外部からの不正アクセス」など、致命的なインシデントを引き起こしてしまう原因となってしまいます。
この連載では、SaaSの導入時におけるセキュリティ評価の重要性と具体的な評価の方法について、全10回の記事連載に渡って初心者の方でもわかりやすいように徹底解説していきます。
“世界一わかりやすい情報セキュリティ“連載記事はコチラから!
▶ 第2回:【多要素認証とは?】パスワードのみの危険性とSaaSに必要な理由を解説!
目次
SaaS選定におけるセキュリティ評価の重要性
SaaSやクラウドサービスを選定するときには、対象サービスのセキュリティが十分か否か、担当者による事前の評価が必要不可欠です。
なぜなら、導入前のセキュリティ評価を怠ってしまうと、アカウントの乗っ取りという問題や情報流出という問題が発生してしまうからです。
例えば、先日の報道でもあったように、岡山大学病院では、フィッシング詐欺による情報流出というトラブルがあったことで、管理体制への批判を呼んでしまいました。
また、トヨタコネクティッド株式会社では、クラウドサービスの誤設定というトラブルが発生したということで、SaaSをめぐるトラブルは決して珍しいものとはいえません。
このようなことから、SaaSやクラウドサービスの導入では、コストや機能による比較はもちろんのこと、セキュリティ項目による評価や比較についても事前に実施しておくべきです。
▶ 出典元:https://www.okayama-u.ac.jp/user/hospital/news/detail284.html
▶ 出典元:https://company.toyotaconnected.co.jp/news/press/2023/0512/
約4割の企業がセキュリティ評価を実施していない
以下のデータは、アイティクラウド独自のアンケート調査による『企業におけるSaaSセキュリティ評価の実態』について、それぞれの回答結果をグラフとしてまとめたものです。
自社固有のチェックシートで事前評価を実施している
最も少なかった回答が「自社固有のチェックシートで事前評価を実施している」というもので、全体の約28%という結果でした。
自社でセキュリティシートを持っている企業の場合、自社で重視すべきセキュリティ項目に沿ったチェック内容となっているため、クラウドサービスのリスクの把握だけではなく、自社の基準に沿ったセキュリティ評価を実現できているといえます。
クラウド関係のガイドラインで事前評価を実施している
次に少なかった回答が「クラウド関係のガイドラインで事前評価を実施している」というもので、全体の約29%という結果でした。
各種ガイドラインに沿った評価は実施できているものの、クラウドサービスは導入の目的により、利用する範囲やサービスの特性が異なることなども多いため、自社で重視するべき評価基準を設けておくことは非常に重要な対策であるといえます。
そもそもセキュリティにおける事前評価を実施していない
最も多かった回答は「そもそもセキュリティにおける事前評価を実施していない」というもので、全体の約37%という結果でした。
セキュリティ評価の重要性を認識していない、もしくは大事なプロセスだと認識してはいるものの、セキュリティの専門家がいないことや、サービスの導入数が少ないことなど、さまざまな事情から事前評価を実施できていないという意見が多く見られました。
SaaSにおけるセキュリティ評価の対策方法4選
①:Pマークをはじめとする外部認証の有無を確認する
SaaSにおけるセキュリティ評価の対策方法の1つ目としては「Pマークをはじめとする外部認証の有無を確認する」という方法が挙げられます。
Pマークをはじめとする外部認証の有無は、SaaSベンダーが一定のセキュリティ基準を満たしているかを把握することができるため、信頼性の高いサービス選定に役立ちます。
また、これらの認証を持つサービスは、定期的な監査を受けているため、セキュリティ対策が常に更新されているという意味でも、Pマークなどの外部認証の有無は事前に確認するのがおすすめです。
②:各種ガイドラインを参考にしたチェックシートを作成する
SaaSにおけるセキュリティ評価の対策方法の2つ目としては「各種ガイドラインを参考にしたチェックシートを作成する」という方法が挙げられます。
総務省や経済産業省、IPA(情報処理推進機構)やNIST(アメリカ国立標準技術研究所)などが提供するガイドラインを参考にセキュリティチェックシートを作成する方法が有効です。
自社に必要なセキュリティ機能を理解することで、ニーズに合わせたセキュリティ項目のカスタマイズが可能になるため、より効果的なセキュリティ管理を実現することができるようになります。
▶ 参考:https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00149.html
③:自社の基準に沿ったセキュリティチェックシートを作成する
SaaSにおけるセキュリティ評価の対策方法の3つ目としては「自社の基準に沿ったセキュリティチェックシートを作成する」という方法が挙げられます。
このプロセスでは、企業のビジネスモデルや法規制の遵守、過去に自社や同業他社で発生したインシデントの事例をもとに、より具体的かつ特定の要件を考慮に入れる必要があります。
自社の基準に沿ったセキュリティチェックシートは、具体的なリスク評価と効果的なリスク対策の計画に大きな効果を発揮するため、業界や業種を問わず事前に作成しておくことのがおすすめです。
④:必要機能の把握に役立つセキュリティ評価サービスを導入する
SaaSにおけるセキュリティ評価の対策方法の4つ目としては「必要機能の把握に役立つセキュリティ評価サービスを導入する」という方法が挙げられます。
例えば、ITreviewの提供する「SaaSセキュアチェック」の場合、各SaaSベンダーが実施しているセキュリティ対策が掲載されており、簡単にセキュリティ評価を実施することが可能です。
また、ITreview固有のセキュリティ評価結果を確認することができるため、セキュリティの専門家や担当者が不在の企業でも安全なサービス選定を実現できるようになります。
12月1日より『SaaSセキュアチェックサービス』の提供が開始
ITreviewでは、2019年10月にBtoBに特化した口コミプラットフォームとしてサービスのローンチを行い、以降『IT選びに、革新と確信を』をモットーに、企業がテクノロジーを活用するうえで“信頼できる声”や“確かな情報”の集まる場を創出し続けてきました。
そして、2023年12月1日『確かな情報』の一つとして『セキュリティ評価情報』を取り上げ、新サービス『ITreview SaaSセキュアチェック』をローンチする運びとなりました。
本サービスの導入によって、SaaSのリスクを事前に把握するだけではなく、自社が評価すべきセキュリティ対策に対して、最適なクラウドサービスかどうかを検討することができるようになります。
自社の運用や体制、クラウドサービスを導入する目的などに合わせて適切なリスク評価を設定することができるため、自社の基準に沿ったベストなクラウドサービス選定を実現することができます。
また、約8,000のクラウドサービスを掲載するITreviewの強みを生かした「プラットフォーム型セキュリティ情報」の提供により、クラウド製品のセキュリティ情報を調べる・探す手間を軽減し、比較検討時のスピードUPを支援します。
まとめ
本記事では、SaaSの導入におけるセキュリティ評価の重要性を解説することに加えて、適切なセキュリティ評価の方法や事前にできる対策方法などについて、わかりやすく解説していきました。
低コストかつスピード導入が可能なことから導入が加速しているSaaSですが、手軽さの反面、アカウントの乗っ取りや情報流出などのリスクがあることから、セキュリティ評価は不可欠といえます。
大半の業務がSaaSに置き換わりつつあるなか、コストや機能と同様に、セキュリティ評価を確実に実施することで、初めて安全かつ適切な運用を実現することが可能です。
アイティクラウドでは、これからセキュリティ評価対策を推進する企業向けサービスとして「ITreview SaaSセキュアチェックPro」を提供しています。SaaSのセキュリティ対策に悩んでいる企業は、ぜひご検討ください。
“世界一わかりやすい情報セキュリティ“連載記事はコチラから!
▶ 第2回:【多要素認証とは?】パスワードのみの危険性とSaaSに必要な理由を解説!
