【チェックリスト】SaaSセキュリティのリスクと対策5選
SaaSセキュリティとは?PaaS・IaaSとの違いやインシデント事例を解説。企業が行うべき5つの対策(認証・権限管理など)をわかりやすく紹介します。
- 目次
SaaSとは? PaaS・IaaSとの違い
SaaS(Software as a Service:サース)とは、「ソフトウェアをインターネット経由で利用するサービス」のことを指し、クラウドサービスの一種です。
クラウドサービスにはほかにPaaS、IaaSがあり、IaaSからSaaSへと進むにつれて、事業者の提供範囲は広がり、利用者が担う管理範囲は小さくなります。
IaaSの特徴
事業者が提供する範囲でもっとも限定的な形態です。
ネットワークやストレージ、サーバー、仮想化基盤までを事業者が担い、OSやミドルウェア、アプリケーションの管理は利用者が行います。
IaaSについて、詳しくは下記コラムをご参照ください。
IaaSとは? SaaS・PaaSとの違いも比較表つきで解説
PaaSの特徴
IaaSの提供範囲に加えて、OSやミドルウェア、ランタイムなどの開発基盤も事業者が提供します。そのため、利用者はインフラ管理を意識せずにアプリケーション開発に集中できます。
SaaSの特徴
アプリケーションそのものまで事業者が提供・運用します。利用者はインフラや開発基盤を管理する必要がなく、サービスをそのまま利用できます。
SaaS導入時のメリットと課題
通常、業務においてソフトウェアを使用する場合には、脆弱性が発見されるたびにパッチ適用などの対策が必要となります。しかしSaaSの場合には事業者がアップデートを行う義務を負うため、常に最新のセキュリティが保たれます。ユーザーは脆弱性を気にせず、常にセキュアな環境でソフトウェアを利用できます。
また、データについても事業者側が暗号化など適切なセキュリティ対策を実施する義務を負います。
SaaSに潜む、具体的な2つのセキュリティリスク
ただし、SaaSを利用する場合でも、セキュリティ対策が不要になるわけではありません。
SaaSを利用する際には、具体的に次の2つのセキュリティリスクについて理解し、対策する必要があります。
1:データの消失のリスク
SaaSのデータはクラウド上に保存されています。利用する際にはシステム障害やユーザーの誤操作、不正アクセスなどによりデータが消失するリスクがあることを念頭に置いておく必要があります。
事業者によってはデータのバックアップサービスを提供している場合もありますが、ユーザー側でも定期的にバックアップを取るなど、自衛のための対策を取る必要があるでしょう。
2:情報漏えいのリスク
アカウントの乗っ取りや、不適切な情報公開設定により、機密情報や個人情報が意図せず外部に漏えいするリスクもあります。クラウド上に保存するデータの内容や保存期間については、事業者任せにするのではなく、企業側でも明確にルールを定め、主体的に対策を講じる必要があります。
上記に加えて、ユーザーの責任で使用する通信経路に生じる脆弱性など、SaaS利用にともなう事業者の責任外のセキュリティリスクには、ユーザー側でしっかりと対応する必要があります。
実際に起きたSaaS利用に関するインシデント事例
実際にSaaSの利用を起点として発生したセキュリティインシデントには、例えば次のようなものがあります。
サービス側の脆弱性を突いたサイバー攻撃が多発した事例
ある情報共有ツールでは、2024年頃から事業者側に複数の脆弱性が相次いで発見され、不正なコードの実行や機密データの実行などの被害が出ました。
SaaSを提供する事業者には、事前に脆弱性の有無を確認する、脆弱性が発見された際には即時対策する、などの対応が求められることが再確認された事例となりました。
アカウント乗っ取りによる不正利用が発生した事例
あるコミュニケーションツールでは、アカウント情報が流出し、提供するSMSを通じて標的型のフィッシングツールが実行されました。さらに窃取した情報を用いた顧客情報の流出も確認されました。SaaSを提供する事業者には、多要素認証など、ログイン情報を厳格化し、万一アカウント情報が流出した場合にも被害を防ぐ対応が求められます。
設定不備により意図せず情報が公開されてしまった事例
ある進捗管理ツールでは、ユーザーによる不適切な情報公開設定のため、意図せず企業情報が流出するという事態を招きました。このツールではデフォルトの公開設定が「チーム内」になっているにも関わらず、一部のユーザーが意図せず「公開」に切り替えたため、複数の企業の情報が検索サイトで検索結果として表示される事態となりました。
SaaSを利用するユーザーには、各種設定を適切に行うことが求められることを再確認した事例となりました。
【チェックリスト】SaaSのセキュリティ問題を解決!企業ができる対策一覧
SaaSのセキュリティ課題を解決するために、企業には具体的に次のような対策が求められます。
1:十分なセキュリティ対策が施されているサービスを選定する
サービスの選定段階において、セキュリティ対策について確認します。信用できる事業者のサービスを選択することに加え、セキュリティ評価レポートや脆弱性情報が公開されているかSaaSの安全性を検証するISO27001やSOC 2 Type 2などの認証を受けているかなどを確認します。また、万一の障害発生時に備え、障害発生時の復旧までの時間や解約後のデータの扱いについてSLAに定められているかも確認しておきましょう。
| チェックポイント | 詳細 |
|---|---|
| セキュリティ情報 | セキュリティ評価レポート、脆弱性診断などセキュリティに関連する情報が公開されているか |
| 認証の有無 | ISO27001やSOC 2 Type 2など、国際的な認証を取得しているか |
| SLA(サービス品質保証) | 障害発生時の復旧時間やデータ保全について、SLAが定められているか |
2. ログイン情報の管理と認証を強化する
ログイン認証として、多要素認証(MFA/Multi-Factor Authentication)や生体認証に対応しているかを確認します。合わせて、ユーザー側の対策として、推測されやすいパスワードや単純なパスワードを設定していないか、複数のサービスで使い回していないかを確認することも重要です。さらに、パスワードを書いた付箋をPCに貼り付けるなど、不適切なID/パスワード管理が行われていないかも確認します。
多要素認証について、詳しくは下記コラムをご参照ください。
【初心者向け】多要素認証とは?二段階認証との違いや具体例を紹介
| チェックポイント | 詳細 |
|---|---|
| 認証方法 | 多要素認証や生体認証に対応しているか |
| パスワード設定 | 推測されにくい、複雑なパスワードを使用しているか(複数の文字種を含む十分な長さを持ったパスワードなど) |
| パスワード管理 | パスワードの使い回しやログイン情報の不適切な管理をしていないか |
3. アクセス権限を見直し、利用状況も可視化する
業務を遂行するために必要最低限のアクセス権限のみを付与すべきとする、「最小権限の原則」に基づき、従業員のアクセス権限を適切に設定・管理することも重要です。従業員の退職や異動があった際にも迅速に対応する必要があります。併せて、不審なアクセスを検知できるよう、利用状況を監視する体制を整えることも必要です。
| チェックポイント | 詳細 |
|---|---|
| 最小権限の法則 | 業務上、必要最小限のアクセス権限のみ付与しているか |
| 権限設定 | 退職、異動時には迅速に権限を変更しているか |
| ログ監視 | 不審な活動がないか、定期的に監視する仕組みは整っているか |
4. マルウェア対策や暗号化でデータを保護する
SaaSを利用する端末がマルウェアに感染していると、機密情報やログイン情報などが漏えいする危険性があります。そのため、業務に使用する端末にはEDR(Endpoint Detection and Response)を導入するなどのマルウェア対策は必要です。
また、データの窃取や端末の盗難に備え、SaaSの機能や専用ツールを利用してデータを暗号化しておくことも重要です。さらに定期的にデータをバックアップし、意図しないデータの消失にも備えましょう。
| チェックポイント | 詳細 |
|---|---|
| 利用端末保護 | EDRの導入など、マルウェア感染対策を採っているか |
| データ暗号化 | SaaSの機能や専用ツールによりデータを暗号化しているか |
| データバックアップ | 定期的にデータのバックアップを行っているか |
5. 高セキュリティな通信環境を構築する
VPNやSD-WANは、SaaSへの通信を安全・快適に行うための有効な手段です。
一方で、複数のSaaSを利用する環境では、通信経路だけでなく、認証、端末管理、アクセス制御、運用管理までを含めて全体を一貫した方針で設計することが求められます。
そのため近年では、ネットワークとセキュリティを一体で管理できるソリューションサービスが注目されています。
| チェックポイント | 詳細 |
|---|---|
| 通信の安全性 | VPNなどを活用し、SaaSへの通信を安全に行える接続環境を構築しているか |
| 全体のセキュリティ設計 | 通信経路・認証・端末管理・アクセス制御・運用管理までを含めて、一貫したセキュリティ設計ができているか |
| ネットワーク基盤 | SD-WANやSASEなどを活用し、複数のSaaSを安全かつ快適に利用できる環境が整っているか |
セキュアで快適な通信を実現!運用・管理の負担も少ない「Prime ConnectONE®」
SaaS利用時におけるセキュリティをさらに一段引き上げるソリューションとして、NTTPCの「Prime ConnectONE®」がお勧めです。
閉域網を使用するIP-VPNに加え、DNSセキュリティ、セキュアWebゲートウェイ、エンドポイントセキュリティの3つのセキュリティプランを用意。SaaS利用にともなうセキュリティリスクを低減します。
また、利用するSaaS毎に煩雑になりがちな運用管理をAIで一元化・効率化できるネットワークAIエージェント機能も搭載。
IT担当者の運用・管理負担を軽減しながら高いセキュリティ性能と快適なSaaS利用を両立する「Prime ConnectONE®」の導入を是非ご検討ください。
まとめ
今回はSaaSについて解説しました。
PaaSやIaaSよりも事業者のセキュリティの責任範囲が広いSaaSですが、導入する際にはユーザー側でも一定のセキュリティ対策が必要となります。
今回紹介した事例のような不正利用や情報の漏えいを防ぐため、末尾のチェックリストを活用して、SASEサービスの利用を検討するなど、自社のSaaS利用に関するセキュリティについて見直してみてはいかがでしょうか。
※ICT Digital Columnに記載された情報は、リリース時点のものです。
商品・サービスの内容、お問い合わせ先などの情報は予告なしに変更されることがありますので、あらかじめご了承ください。
