SaaSセキュリティのリスクと課題は?企業がとるべき対策
近年、様々なSaaSが普及し、企業での活用事例も増えています。しかしネットワークでつなげることによって、セキュリティのリスクの課題も存在します。
この記事ではSaaSのセキュリティリスクについて紹介したのちに、対策についても解説します。
目次
SaaSのセキュリティに関するリスク・課題
SaaS利用において考慮しておくべきリスクは下記です。
- マルウェアによる拡散
標的型攻撃
業務外Webサイトの閲覧 - 故意のデータ漏洩
利用者における機密ファイルのアップロード - 不慮のデータ漏洩
フォルダやファイルの公開対象の権限/設定ミスによる外部アクセス
利用者ID情報の流出によるなりすまし
2020年12月には、楽天で利用していたSalesforceのExperience Cloudの設定不備が原因で個人情報などが流出したという事例もありました。
参考:https://news.yahoo.co.jp/byline/ohmototakashi/20201226-00214542
そこで今回、SaaS管理に携わる方10名に、SaaSセキュリティ対策度合いについてヒアリングしました。
Q.SaaSセキュリティについて、どの程度対策をしていますか?
| 十分にしている | 2名(20%) |
| 十分ではないが対策している | 4名(40%) |
| 全くできていない | 4名(40%) |
調査の結果、十分に対策できていると回答した方は2名(20%)しかいなく、何かしらの課題を抱えているケースが多くなりました。
十分に対策できていないと回答した方は、下記のような点に課題を感じているようです。
- 各人のデータのモニタリングはできないため、情報漏洩や重要データの消失が心配(教育関連業 教務部)
- SaaSを導入すると他端末でもSaaS経由で利用することができてしまうので、情報漏洩のリスクが課題だが、十分に対策できていない(情報通信業 営業)
- 社内なので性善説で運用しているが、悪意を持ってサーバーにアクセスされた場合はダウンする可能性があり、その対策はできていない(IT関連業 エンジニア)
- 全面的にセキュリティ対策をSaaSに依存している状態で、社内では対策が取れていない。かつSaaS側のセキュリティポリシーが随時変更され他としても気づくことができず、内容理解が遅れてしまっている。(システムインテグレーター業 情報システム)
- Saas提供事業者にてサーバやOS、ミドルウェアの脆弱性を攻撃される事での情報漏洩による利用者側が被る可能性がある。(卸売業 システム運用部)
こうしたことから、企業が十分にSaaSセキュリティに対処できておらず、対策が必要なことがわかります。
企業がとるべきSaaSのセキュリティ対策
ここからはSaaSのセキュリティリスクを回避するための対策を、「導入時」と「導入後」に分けて説明していきます。
SaaS導入時の注意点/リスク対策
SaaSはオンプレミス環境と違い、アプリ上の脆弱性対策やデータのバックアップについては基本的にベンダー側の責任になります。
とはいえ、ベンダーを選ぶ際にはどの程度のセキュリティがあるのかをしっかりチェックする必要があります。
チェックすべき項目は下記です。- データセンターのサイバー攻撃や天災への対策
- 不正アクセスの防止
- アクセスログの管理
- 通信の暗号化
- データのバックアップ
- ハードウェアの障害対応
- 利用終了時のデータの取り扱い
SaaS導入後の注意点/リスク対策
続いてSaaS導入後の注意点は下記2つです。
- ID・パスワードの管理
- アクセス制御
それぞれ見ていきましょう。
ID・パスワードの管理
利用するSaaSが増えれば増えるほど、ID管理の煩雑さは増していきます。
まずパスワード設定が甘いとハッキングリスクが高まるため、文字種類や文字数を多くして、セキュリティレベルをあげなければなりません。
そしてIDやパスワードの共有はしない、利用する端末に2段階認証を用いるなどのルール策定と実行が必要です。ただし複雑なパスワードになればなるほど覚えにくくなり、管理が煩雑になってしまいます。スマートフォンなどにメモをして紛失してしまっては本末転倒です。
こうしたパスワード管理をするために、SSO(シングルサインオン)がおすすめです。 SSOとはIDやパスワードを管理するためのシステムで、1度ユーザー認証を行うと、複数のシステム利用時に、都度認証を行う必要がなくなります。
また多要素認証を活用するのもおすすめです。
多要素認証は、パスワードなどの知識情報、携帯電話などの所持情報、指紋などの生体情報の3つの内、2つ以上を組み合わせないと認証できないようにするため、なりすましを極力防ぐことができます。
アクセス制御
社外で利用する可能性があるSaaSはアクセス制限ができるもの、もしくはアクセスログが確認できるものを選びましょう。
アクセス制限の例として、代表的なものを2つご紹介します。
- 端末制限
支給したPCで電子証明書をインストールし、インストールしていない端末からのアクセスをブロックする - IPアドレス制限
オフィス内など特定の場所からのアクセス以外をブロックする
SaaSセキュリティ対策を万全にできているという企業は、Firewall内で利用しているという声もありました。
『SaaSは社内向けなのでFirewall内で使用しており、サーバーにはウイルス対策ソフトで対応。サーバーへログインできる管理者を2名に限定するなどの対策を実施している。(IT業 エンジニア)』
注意が必要なのは、SaaSをアップデートする際。古いバージョンでデフォルト設定で問題なかったものが、新しいバージョンでは情報漏洩や不正アクセスにつながってしまう可能性があります。
アップデートする際は、必ず設定や権限に関する内容を確認できる仕組みを作っておきましょう。
SaaS管理におすすめのセキュリティサービス
SaaS管理をよりセキュリティの高いものにするために、「SAASCORE」の活用をおすすめします。
SAASCOREはSaaS管理の業務効率化とリスク低減ができるSaaS統合管理プラットフォームです。
Google WorkspaceやSlackなど社内で利用されるSaaSの一元管理ができるため、SaaS利用のセキュリティを保持することができます。