販売管理システムを選ぶ際は、以下9つのセキュリティポイントに注意することが大切です。
- アクセス制御・認証強化
- データ保護対策
- クラウド/オンプレミスの安全性
- ログ管理・監査機能
- 法令・規格への対応
- 外部連携時のセキュリティ
- 退職者・異動時の管理
- バックアップと障害対策
- ベンダーの信頼性
目次
アクセス制御・認証強化
第三者が勝手にサービスやシステムにアクセスしないよう、アクセス制御機能や認証強化機能を採り入れているシステムを選びましょう。
例えば、管理者、営業担当者、経理担当者、倉庫管理者といった職種や役割ごとに異なる権限を持たせられるシステムを導入すれば、不要なアクセスが減り情報漏えいや誤操作のリスクを防止できます。
また、以下のような認証システムを採用すれば、不正ログイン・アクセスのリスク低減に役立ちます。
- 多要素認証(MFA):2つ以上の種類の要素を用いて認証する
- シングルサインオン(SSO):1つのID・パスワードで複数のシステムにアクセス可能
SSOを導入すると、IDやパスワードを一本化できるため、複雑なID・パスワードを設定しても管理しやすく、セキュリティの向上に役立ちます。MFAと併用すれば、さらに強固なセキュリティ体制を構築できるでしょう。また、SSOを利用すれば認証情報の管理も楽になるため、退職者のアカウント情報の削除といった作業の負担も軽減できます。
データ保護対策
大切なデータが盗まれたり紛失したりしないように、暗号化やバックアップのデータ保護対策を講じておきましょう。
具体的な対策には、以下のようなものがあります。
- データの暗号化
- 定期的なバックアップ
- 不要なデータの削除
データの暗号化は通信時だけでなく、データを保存する際にも行われる仕様にしておくと安心です。
また、バックアップは定期的に行うのはもちろん、複数のバックアップを作成し、1つは遠隔地やクラウド上に保存しておくなどの二重対策を講じておくのがおすすめです。
さらに不要なデータをクリーニングで削除しておくことも大切です。不要なデータが増えると保守作業が煩雑になり、余計なリスクを増やす原因になるので、定期的に削除しておきましょう。
ただ、データの中には各種法令や社内規程によって一定期間保存が義務づけられているものもあります。これらのデータを誤って削除してしまわないよう注意しましょう。
クラウド/オンプレミスの安全性
クラウド型とオンプレミス型では必要な安全策が異なるため、それぞれに適したセキュリティを講じましょう。
| クラウド型 | データセンターの所在地サーバー管理の担当事業者 |
| オンプレミス型 | 自社でのサーバー管理体制セキュリティパッチ適用体制 |
データの保護やセキュリティに関する法規制は国や地域によって異なるため、データセンターの所在地は物理的な安全性に加え、適用される法規制やデータ保護要件などの面からも重要なポイントです。
一方、オンプレミス型では自社で保守を担うため、サーバーの管理体制やセキュリティパッチの適用体制を万全に整えておく必要があります。
ログ管理・監査機能
ログ管理や監査機能を活用すれば、いつ・誰が・何をしたのかの履歴を確認できます。これにより、不正アクセスなどのトラブルが発生した場合の原因究明に役立ちます。
また、ログ管理や監査機能そのものの存在を周知しておけば、不正行為の抑止力になるでしょう。
なお、ログの保存期間はシステムによって異なります。インシデントの発生原因の調査や各種法令、ガイドラインなどを考慮すると、少なくとも1年間は保存できるシステムを選ぶのがおすすめです。
なお、1年間というのはあくまで目安です。業種や監査要件によっては必要となる保存期間がさらに延びる可能性もあるため、自社の運用要件も合わせて確認し、適切な期間を設定することが大切です。
法令・規格への対応
個人情報保護法や電子帳簿保存法など、セキュリティに関連する各種法令や規格に対応しているかどうかを確認しましょう。
特に電子帳簿保存法に対応しているシステムは、タイムスタンプ付与機能や、訂正・削除履歴の管理機能が備わっており、電子帳簿保存法の要件であるデータの真実性確保に役立ちます。
なお、電子帳簿保存法の要件は保存対象や運用方法によって異なるため、ベンダーの資料や国税庁の公的情報も合わせて確認しておくとよいでしょう。
外部連携時のセキュリティ
既存システムと連携させる場合は、連携時のセキュリティ体制も重要です。
具体的には、次のような点を確認しましょう。
- APIキー認証やOAuth認証などのセキュリティ性の高い認証方式を採用しているか
- 外部システムとのデータ通信が暗号化されているか
これらの対策により、連携時の情報漏えいリスクを抑えられます。
退職者・異動時の管理
システムを利用者が退職または異動した際、アカウントの速やかな停止や削除できる仕組みも重要です。
特にクラウドシステムの場合、インターネット環境があれば、いつでもどこでもアクセスできるため、退職者・異動者のアカウントを停止しないと個人情報漏えいのリスクが高まります。
また、退職者や異動者による不正アクセスを確認できるよう、アクセス履歴を追跡できる機能があると良いでしょう。
バックアップと障害対策
停電や災害などのトラブルに備えたバックアップ体制や障害対策が講じられているかも確認が必要です。
主なチェックポイントは次の通りです。
- バックアップが自動で実行されるか
- バックアップの頻度
- データ消失時の復旧方法
また、データの紛失・破損などが起こった場合の復元手順もあらかじめ確認しておきます。なるべく簡単な手順で復元できるシステムであれば、復旧作業の属人化を防げるでしょう。
ベンダーの信頼性
販売管理システムを提供しているベンダーの信頼性も、セキュリティの充実度を左右するポイントになります。
具体的なチェックポイントは以下2つです。
- セキュリティ面において適切なサポートを行ってくれるか
- PマークやISMS認証を取得しているか
Pマーク(プライバシーマーク)はJISに準拠した個人情報保護に関する認証制度、ISMS認証は安全な情報管理の仕組みが整っているかを第三者機関が評価する認証制度です。これらの認証の有無を確認すれば、ベンダーの情報管理体制を判断する基準になるでしょう。
これらの認証制度と併せて、脆弱性やインシデント発生時の対応や、サポート内容などを確認しておくと、システムへの安心感につながります。
販売管理システムはセキュリティが充実したものを選ぶことが重要
販売管理システムを選ぶ際は、アクセス制御やログ管理の有無、データ保護対策、外部連携時のセキュリティなど、複数のポイントから、セキュリティレベルの高いシステムを選ぶことが大切です。
なお、システムそのものの機能性だけでなく、ベンダーの信頼性も比較要素になります。サポート体制やセキュリティ認証の有無を確認し、信頼できるベンダーかどうか慎重に見極めるようにしましょう。
