企業で導入が急速に拡大するSaaSと企業側が考慮すべき点は?
在宅やリモートワークの取り組みが進んでいる企業では、社員同士の情報共有を補うものとして、コミュニケーションやファイル共有のSaaSを利活用するケースが増えています。これらのサービスは導入が容易で利便性が高い反面、部門や社員が独自に導入するシャドーITなど情報漏えいに繋がる危険性も孕んでいます。SaaSの場合、SaaS提供者によりさまざまなリスクを想定したセキュリティ対策が施されており、他にも障害発生時の対処やバックアップ、バージョンアップなど利用者側の責任や負担を軽減できるメリットがありますが、当然のことながら一切のリスクがなくなるわけではないため、利用者側でもSaaSのセキュリティやリスクを理解し対策を行う必要があります。今回は、昨今のSaaSの導入状況を振り返りつつ、導入に際して気を付けるポイントを解説していきます。
SaaSの企業導入の動向
企業のクラウドサービスの導入は年々増加傾向にあります。総務省の令和3年版情報通信白書によると、2020年には7割弱の企業が全社的、もしくは一部の事業所等で利活用が行われており、現在ではさらに利用率が高くなっていることと推察されます。
クラウドサービスの利用内訳は、企業の重要な資産ともいえる「ファイル保管・データ共有」の割合が 59.4%と最も高く、次いで「電子メール」(50.3%)、「社内情報共有・ポータル」(44.8%)となっています。
上位にはコミュニケーション関連が多く、より社員同士が円滑に情報共有できるようSaaSを活用している傾向がみられます。しかしテレワークで離れた場所で仕事をする場合、半数以上がコミュニケーションに関するツールを持っているにも関わらず、コミュニケーションに課題があることもよく聞きます。ツールによりそれぞれ使い方が異なるため、複数のものを組み合わせて解決することがデフォルト化していくと考えられます。
参考:
総務省 令和3年版情報通信白書
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r03/pdf/index.html
SaaSのセキュリティ対策
SaaSは、サーバーやネットワークなどの運用保守をユーザーが意識することなく、必要なアプリケーションのみを利用することができる便利なサービスです。SaaSのセキュリティ対策に関しては事業者の判断となるため、ばらつきはありますが不正アクセス防止やアクセスログ取得、通信の暗号化、バックアップなどの対策が実施されています。また、事業者自らが国内外のガイドラインやフレームワークを参考にセキュリティ向上に努めたり、第三者機関による網羅的なSaaS監査の整備が進み必要な情報が開示されるようになることが予想され、さらに導入と利用の安全性が高まると思われます。
また、ISMAP*の評価制度によりクラウドサービスの監査が行われ、そのリストが公表されるようになりました。今後、政府機関が調達するクラウドサービスはこのリストから選択されることから、信頼できる選定基準の一つとなるでしょう。このリストは民間にも公表されるため、クラウドサービスのセキュリティ評価が難しく導入が進まなかった企業でも参考になることと思われます。
*ISMAP(イスマップ)とは
内閣サイバーセキュリティセンター・情報通信技術(IT)総合戦略室・総務省・経済産業省が所管、発足した「政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program)」です。
https://www.ismap.go.jp/csm?id=csm_ismap_index
利用企業側のセキュリティにおける課題は?
利用者側で考慮すべきセキュリティについてご紹介していきます。
SaaS利用者側でできるセキュリティチェック
SaaSの選定時、利用者ができるセキュリティチェックはいくつかあります。まずはセキュリティ認証の取得や公開情報の確認です。セキュリティ認証には国際規格や国内の制度などがあるため、導入予定のSaaSがどのような認証を受けているかを調べておきましょう。またSaaS事業者が公開しているホワイトペーパーやチェックシートを見ることで、サービスのセキュリティが判断できます。それでも不明な場合は、利用者側がクリアすべきセキュリティ項目のチェックシートを作成し、SaaS事業者へ回答を依頼することもよいでしょう。選定時には、SaaSのセキュリティ水準やカバー範囲を確認し、利用者側で必要となる対策も合わせて明確にしておきましょう。
シャドーITの抑制やファイルへのアクセス権限
SaaSは登録から利用開始までが容易に行えるため、企業のシステム管理者の許可を得ずに部門や事業所が独自にSaaSを導入・利用してしまう「シャドーIT」問題があります。システム管理者が把握していないSaaSを利用する場合、万一脆弱性が発見されても対応ができず大きな被害に及ぶ危険性があります。また顧客とのファイル共有する場合、従業員が機密データや個人情報が入ったファイルをアップロードし、ダウンロード先の顧客から情報が漏えいするケースも考えられます。シャドーIT、またファイルのアップロード/ダウンロードの対策へは十分考慮しましょう。
ID・パスワード管理
企業の多くはではファイル共有、コミュニケーション、チャットなど複数のSaaSを利用しています。そのためサービス毎にID・パスワードを設定管理する手間やアクセス制御といった管理が煩雑になりがちです。さらに働き方や雇用形態が変化していることで人材の流動化が進み、利用者の増減に合わせた素早い対応が求められています。また利用者は、サービスにログインするたびに都度IDとパスワードを入力する手間を軽くするよう難しいパスワードの設定を避け平易なパスワードを設定しがちなため、不正アクセスのリスクを増大することにも繋がります。そのため利用者のログイン作業を減らし安全なユーザー認証を実現するシングル・サインオンの必要性が高まっています。
利用端末の管理
会社利用を許可したSaaSアカウントでも、私物端末からID・パスワードでのアクセスやファイルをダウンロードされ、情報漏えいに繋がる恐れがあります。また万一、その私物端末がウイルス感染していた場合、感染したファイルをアップロードされることで会社環境内にウイルスを拡散する恐れがあります。
このように、いつ、どこで、誰が、どのデバイスで、どのサービスを利用できるかの権限を管理すること、また利用者の利便性を高めることが、SaaSの安全な継続利用には必要になっています。
まとめ
SaaSは使い勝手のいい便利なサービスで導入も容易な反面、企業側も利用に合わせたセキュリティ対策を考慮する必要があります。特に最も多く利用されているファイル共有サービスは企業資産を社外に置くことになるため、データを保護することはすなわち企業価値や信頼を守ることになります。安全なSaaS利用を推進するため、これらの点に気をつけた導入をおすすめします。