SaaSのセキュリティ対策とは？おすすめのセキュリティツールも含めて紹介！

SaaSとは？

SaaS(Software as a Service)はOffice365、Salesforce、G Suite、Kintone、DocuSign、Boxなどの各種ソフトウェアサービスをインターネットを経由して利用することです。ハードウェアやネットインフラの購入をする必要は無く、メンテナンスの必要性もありません。

感染症対策や価値観の多様化などの影響でテレワークの導入が進み、自宅やサテライトオフィスなど場所を問わない働き方を選択する方が増えてきました。インターネットに接続可能な環境であればどこでも仕事ができるクラウドサービスへ移行する企業も増えています。

SaaSは「必要なときに必要な分だけ利用できる」サービスで、ベンダーが設定している料金さえ払えばすぐに利用できます。自社で全ての設備を揃えて運用・管理を行うオンプレミスよりも、低コストで運用できる点がSaaSの大きな特徴です。

⇒セキュリティと生産性を両立する！SaaSを前提にしたゼロトラストに関するホワイトペーパーを今だけ無料でプレゼント中！

SaaSを導入した場合のセキュリティ面での2つのメリットとは？

大部分のセキュリティ対策をベンダーに一任できるだけでなく、オンプレミスで情報資産を管理していた時よりも遥かに安全性が高いセキュリティ対策を期待できます。

ユーザーが負うべき責任の範囲が小さい

SaaSを利用した場合、OSやアプリ上の脆弱性への対策やデータのバックアップ、通信障害が起きた場合の対策などは基本的にはサービスを行うベンダー側の責任となります。ユーザーはスマートフォンやノートPCなどの端末管理、社員の行動監視などが対策範囲となりますが、セキュリティ対策の大部分をベンダー側に一任することが可能です。管理者の業務負担軽減につながるだけでなく、セキュリティ分野への知識やノウハウが浅い企業でも、高いレベルのセキュリティ環境を構築できます。

オンプレミスよりも遥かに高い安全性を提供

サイバー攻撃やマルウェア感染などのセキュリティインシデントによって簡単にトラブルが起きないよう、ベンダー側はあらゆるリスクを想定して対策を行っています。頻繁に通信障害やデータ流出が起きるようであれば、顧客を獲得できません。また、ベンダー側にはセキュリティ分野への知識が豊富な人材が集結しておりますので、豊富な知識やノウハウを活かしてサイバー攻撃やマルウェア感染の被害を最小限に抑えられます。

SaaSだけでなく各種クラウドサービスは以前、セキュリティ面が不安といった懸念がされていました。インターネット上で不特定多数のユーザーが閲覧できるため、犯罪者から攻撃されるリスクが高まるのではないかといった懸念です。ですが、ベンダーが規格の取得や認証機関からの評価プロセスの開示、ユーザー側のクラウドサービスへの理解度が深まったことで、「オンプレミスでデータ管理をするよりも安全」との認識が広まりつつあります。

ベンダーを選ぶときの3つのチェックポイント

どのようなセキュリティ対策を講じているか、認証規格取得の有無や認証機関からの評価、サービスを長期間使用可能かといった点がポイントとして挙げられます。

どのようなセキュリティ対策を講じているか

SaaSを提供しているベンダーがどのようなセキュリティ対策を行っているか確認して下さい。システムの大部分はベンダー側が運用・管理をしていきますので、情報資産を守る安全性はベンダーの対策によって大きく左右されます。確認すべきポイントをまとめましたので、参考にしてください。

• データセンターのサイバー攻撃や天災への対策
• データのバックアップ体制
• OSやアプリなどにおける脆弱性への対策
• 不正アクセスの防止
• データ通信の暗号化
• アクセスログの管理
• ハードウェアの通信障害対策や安定性

認証規格取得の有無

絶対に認証や規格を取得しているベンダーを選ばなければならない決まりありませんが、認証や規格を取得しているベンダーの方が安心感や信頼度も高くなります。時間と労量を掛けてセキュリティ対策を行っていることがわかるからです。例えば、Amazonが提供するクラウドサービスの集合体であるAWS(Amazon Web Services)は、ISO 27001やISO 27017など情報セキュリティやクラウドサービスにおける認証規格を多数取得しています。

ベンダーを選ぶ際の一つの参考にしてください。

サービスの継続性

同業他社も含め多くの企業で導入をされているか確認するのも一つの選択基準です。機能やサービスの質の高さを評価する基準の他、長期的にサービスを使用できるといった安心感につながります。

例えば、あなたの所属している会社が人事・労災システムをクラウド上で利用していたとしましょう。サービスを提供しているベンダーの経営が悪化した途端に人事・労災システムの提供を停止した場合、同様のサービスを提供しているベンダーを新たに探さなくてはなりません。業務の停滞と社員の負担が増大しますので、サービスを利用する場合は既に多くの企業が導入していて倒産リスクが低いベンダーを選ぶようにしましょう。

ユーザー側はSaaS導入後にどのようなセキュリティ対策を行うべきか？

社員のアカウント情報の管理とアクセス制限が主な対策となります。

アカウント情報の管理

クラウドサービスやアプリなど複数のサービスを利用することになるため、ID/パスワード管理が大変になります。従来のようにサービスごとに複数のパスワード管理を行うことは社員への負担も大きく、業務量が多い場合は利便性を優先して単一のパスワードの使い回しや解読しやすいパスワードに偏りやすい傾向が強まります。

ですが、パスワード設定が甘いと犯罪者にパスワードをハッキングされるリスクが高まります。不正アクセスによる社内ネットワークへの侵入手段は、依然としてパスワード設定の甘さを利用するケースが多いです。文字数の長い記号やアルファベット、数字を織り交ぜた規則性を感じさせないパスワードを設定しましょう。

アクセス制限

SaaSはインターネットに接続可能な環境であればどこにいてもアクセスできる反面、オンプレミスよりも不正アクセスのリスクは高まります。パスワードリスト型攻撃等による犯罪者によるなりすましを防ぐためにも、ログイン時に「誰が、どのデバイス機器で、どこからアクセスを試みたか」を明確にしなければなりません。精度の高いユーザー認証を実現する他、不正アクセスを防ぐためにも多要素認証やリスクベース認証などによって、なりすましを防ぐことが重要です。

SaaS利用時に導入するべき3つのセキュリティサービスとは？

IDaaS、EDR、DLPの特徴を紹介します。

IDaaS

IDaaS(Identity as a Service)はクラウド上のID管理・認証サービスを行うセキュリティツールです。
ID管理だけでなく、シングルサインオンや多要素認証、ログ・レポート機能など多彩なを搭載しており、不正アクセスのリスク軽減とユーザー行動の可視化に貢献します。

各機能の特徴をみていきます。

ID管理・連携

各種クラウドサービスやアプリ、IDaaSを利用するためのID管理を一括で行います。一つのサービスでアカウント情報を作成すれば自動連携機能により、他のサービスでのアカウント情報も作成されますので非常に便利です。また、社員の入退社や人事異動、出向などによるアカウント情報の作成・変更・削除にも対応しています。

オンプレミス環境でユーザー情報やアクセス権の管理を行うActiveDirectory(AD)と連携しているサービスも多く、ADでの操作をクラウド上でスムーズに反映することが可能です。管理者の業務負担軽減と不要なアカウント情報を情報漏洩に悪用されるリスクを軽減できます。

シングルサインオン

シングルサインオンとは、一つのクラウドサービスやアプリへのログインに成功すれば、他のサービスを利用時にアカウント情報を入力すること無くログインできる仕組みです。ログインに成功した認証情報を信用して、他のクラウドサービスでも適用します。複数のパスワード管理やログイン作業を何度も行う必要が無くなるので、業務効率の改善や業務上のストレス削減効果が望めます。また、パスワードを書いたメモを紛失した場合のログイン不可といった事態の回避やパスワード流出による情報漏洩のリスク軽減効果にも期待ができます。

多要素認証

多要素認証はID/パスワード入力だけでなく、顔認証や指紋認証などの生体認証やスマートフォンのSMS機能を利用したワンタイムパスワードの入力をログイン時に求めます。ユーザー特有の情報を認証に課すことで、犯罪者のなりすましを防ぎます。近年ではパスワードレスによる認証機能も開発されており、専用のUSBやトークン、スマートフォンのアプリを活用した認証機能を搭載したIDaaSも増えています。

アクセス制限

端末やアクセスする場所を限定する認証、ユーザー行動の情報からリスクの有無やアクセス許可の判断を下すタイプなど様々な種類があります。

端末制限

支給したスマートフォンやPCで電子証明書をインストールさせ、インストールされていない端末からのアクセスをブロックします。現在問題視されているシャドーITによる情報漏洩を防ぎます。シャドーITは企業が許可していない私物を勝手に業務に持ち込むことです。

BYOD等、自身の私物は使い慣れていて業務効率改善が期待できる反面、情報漏洩のリスクが高まります。セキュリティ対策が十分にされていない外出先での情報漏洩や犯罪者にハッキングされる可能性が高まるからです。セキュリティ保護が甘いカフェやファストフード店で私物を使って作業を行っていた場合データ通信が暗号化されず、第3者に盗取されるリスクや機密情報を盗み見されるリスクが高まります。

業務で使用できる端末を限定することで、不正アクセスや情報漏洩のリスクを軽減します。

IPアドレス制限

オフィス内やサテライトオフィスなど、特定の場所からのアクセス以外をブロックします。内部からの情報漏洩の抑止力や不正アクセスをブロックために使用されます。テレワークの導入が進んでおり、自宅やカフェなど監視の目が届かない場所で業務を行うことも増えてきていることから、社員が企業に不満を持っていた場合は情報漏洩を決断しやすい状況になっています。

場所を限定することでユーザー行動を可視化し、異変があった場合はすぐに対策を取ることが可能です。また、現役社員の内部漏洩を防ぐとともに、退職した社員からの情報漏洩を防ぐ対策としても有効です。

リスクベース認証

リスクベース認証とはユーザーの行動、デバイス機器、アクセス地点から不正アクセスか否かを判断し、アクセス許可を下す認証です。アプリの使用状況やユーザーの利用時間など、普段の行動と比較して相違点が多い場合は犯罪者による不正アクセスと判断し、アクセスをブロックします。犯罪者のなりすましや通常のアクセスと見分けが付きにくいDDos攻撃などのリスク軽減に有効な認証機能です。

ログ・レポート

ユーザーのクラウドサービスでの利用状況やアカウント情報の変更内容を確認できます。ユーザーの行動を可視化できるので、不正行為やマルウェア感染した場合など異変があった場合、すぐに対策を取ることが可能です。また、過去の履歴を遡りサイバー攻撃や不正アクセスの有無を確認し、自社のセキュリティ対策の課題発見に役立てることもできます。

EDR

EDR(Endpoint Detection and Response)はスマートフォンやPCなどのデバイス機器をエンドポイントと位置づけ、セキュリティ監視を行います。
マルウェアの検知・ブロックを行うだけでなく、端末内に侵入した脅威を隔離します。
マルウェア対策の予防と感染後の被害を最小限に抑えられるセキュリティツールです。

EDRの機能

DLP

DLP（Data Loss Prevention）は顧客情報や商品データ、従業員の個人情報など企業にとって機密情報と判断した重要な情報を対象にデータの持ち出しやコピーを禁止することです。
内部漏洩の防止や不正アクセスによる情報盗取を防ぎます。

ユーザーの行動ではなく、情報の所在を自動検出して表示することで管理者の業務負担を軽減します。
また、不正行為をリアルタイムで検知できることで、情報漏洩による被害を最小限に抑えます。

DLPの機能

⇒セキュリティと生産性を両立する！SaaSを前提にしたゼロトラストに関するホワイトペーパーを今だけ無料でプレゼント中！