SaaSをはじめクラウドサービスはさまざまな業界で活用されています。
企業で働くご担当者の方にとっては、「SaaSは便利そうだけど、セキュリティ面が大丈夫なのか不安がある」という方も多いのではないでしょうか。
そこで本記事では、SaaSの概要や考えられるセキュリティリスク、重要となるセキュリティ対策などを解説していきます。

 

SaaSとは

まずはSaaSの概要や特徴について解説します。

・SaaSの概要

SaaSは「Software as a Service」の略であり、インターネット経由でソフトウェアを提供するサービスを指します。

・SaaSのメリット

SaaSのメリットは主に以下の3点です。

• ソフトウェアをインストールせずに利用できる
• パソコンやスマートフォンが変わっても同様に利用できる
• ソフトウェアの管理や運用はベンダー側にお任せできる

専門的なソフトウェアの管理・運用の知識がなくても、世の中にあるソフトウェアサービスを簡単に利用できます。
また、インストール不要なため、パソコンなどの端末が変わってもすぐに利用できる点もメリットです。

・SaaSのデメリット

SaaSのデメリットは以下のとおりです。

• システム障害時はサービス停止となる可能性がある
• 自由なソフトウェアの設計は難しい
• 毎月の利用料を払い続ける必要がある

SaaSは、毎月の利用料を払いながら提供されたソフトウェアを使うサービスです。
そのため、利用側で自由にカスタマイズすることが難しい点、障害発生時はサービス停止となるリスクがある点などはデメリットと言えます。

PaaS/IaaSとの違い

SaaSとセットで使われることの多いキーワードに「PaaS」や「IaaS」があります。
それぞれの違いは、以下のとおりベンダー側からのサービス提供範囲になります。

• SaaS：エンドユーザーが利用するアプリケーションまで運用管理
• PaaS：開発環境を提供するためのミドルウェアやOSまでを運用管理
• IaaS：サーバーなどのハードウェアの保守管理

SaaS/PaaS/IaaSの違いについて詳しく知りたい方は、以下の記事を合わせてご確認ください。
関連記事：SaaS/PaaS/IaaSの違いは？それぞれの特徴やサービス事例を解説

 

SaaSを利用する際のセキュリティリスク

SaaSを利用する際に気になるのがセキュリティリスクです。
SaaSにおけるセキュリティリスクには、主に以下の点が考えられます。

・SaaSを提供するベンダーのシステムやサーバーへのサイバー攻撃

まずはSaaS自体へのサイバー攻撃です。
SaaSを稼働させるサーバーやネットワークはベンダー側が管理していますが、そのベンダー側のシステム環境がサイバー攻撃の被害にあった場合、セキュリティ懸念が生じます。

・SaaS以外の社内システムへのサイバー攻撃

SaaS以外のサイバー攻撃も注意すべきセキュリティリスクです。
たとえばSaaSとデータ連携をしている社内のシステムがサイバー攻撃の被害にあった場合、該当の社内システムからSaaSにウィルス感染が伝播するリスクなども存在します。

・SaaS障害発生時の業務影響

間接的なセキュリティリスクとして、業務影響面の懸念もあります。
SaaSの障害発生によってソフトウェアがサービス停止となった場合、SaaSを使った日常の業務が滞り、社内や取引先に影響が出る可能性があります。

 

SaaSにおける基本的なセキュリティ対策

前述したようなセキュリティリスクに対処するためには、しっかりとセキュリティ対策を行っていくことが重要です。
ここでは、SaaSにおける基本的なセキュリティ対策について、利用側とベンダー側の観点からそれぞれ解説します。

・利用側

利用側のSaaSにおけるセキュリティ対策は、主にSaaSを利用する「端末」と「人」に関する部分です。
具体的には、以下のようなセキュリティ対策が大切です。

• アカウント情報の管理（IDやパスワードなど）
• アクセス権限の管理（誰がどの機能やサービスを使えるのかを制御）

IDやパスワードがしっかりと管理できているか、必要な人に必要な分だけの権限を付与できているかなどを確認していきましょう。

・ベンダー側

ベンダー側は、ハードウェアやネットワーク、OS・ミドルウェア、運用・保守など、責任範囲が多岐にわたります。
代表的なセキュリティ対策の例としては、以下のようなものが挙げられます。

• アプリケーションなどにおける脆弱性対策
• 不正アクセスの防止やアクセスログ管理
• 通信の暗号化
• データのバックアップやハードウェア機器の障害対策
• データセンターの物理的な対策など

アプリケーションにおいては、定期的なセキュリティ更新などの脆弱性対策が欠かせません。
加えて、通信面では不正アクセスなどが発生しないよう、暗号化やログ管理が重要です。
さらに、システム機器の冗長化やデータセンターのセキュリティ対策など、物理的な対策も求められます。

近年、セキュリティ対策・情報漏洩の一環として情報の暗号化が進んでおり、さまざまな企業で「ブロックチェーン技術」が活用されています。
今後さらなる普及が予想されるブロックチェーンの活用事例を以下の記事にまとめましたので、自社導入の参考にしてください。
関連記事：ブロックチェーンとは？活用事例や自社に導入する際のポイントを解説

ブロックチェーンとは？活用事例や自社に導入する際のポイントを解説

SaaS利用時のセキュリティをさらに強化する方法

利用者側でできる基本的なセキュリティ対策は前述のとおりですが、セキュリティ強化のために追加で実施できる対策もあります。
たとえば、以下のようなセキュリティ強化策が有効です。

・多要素認証や二段階認証の導入

ユーザーがソフトウェアへログインする際に、多要素認証や二段階認証を導入すると効果的です。
ID・PWに加えて、指紋認証やワンタイムパスワード認証などを追加することで、セキュリティのさらなる強化が図れるでしょう。

・SaaSにアクセスする端末やネットワークのセキュリティ担保

SaaSを利用する端末（パソコンやスマートフォンなど）のセキュリティ強化も重要です。
端末へのセキュリティパッチの定期的な適用や持ち出し管理の徹底など、デバイスに対するセキュリティ対策を行うことで、より強固なセキュリティ環境を実現できます。

・従業員のセキュリティ教育

SaaSを利用する従業員へのセキュリティ教育も欠かせない要素です。
管理者側でアカウント管理などを実施しても、利用する従業員のセキュリティ意識が低いとセキュリティインシデントが発生するおそれがあります。
定期的にセキュリティ勉強会を開催するなどして、社内での啓蒙活動を行っていきましょう。

 

まとめ：SaaSを有効活用するためにはセキュリティ対策が不可欠

SaaSはインターネット経由でソフトウェアを気軽に利用できるサービスです。
反面、セキュリティ面を気にされる方も少なくありません。
SaaSを利用する際は、ベンダー側がアプリケーションの脆弱性対策や通信の暗号化などを十分に実施しているかを確認するようにしましょう。
また、社内でもアカウント管理や端末管理、セキュリティ教育を徹底していくことが大切です。