SaaS利用時に利用者が考えるべきセキュリティリスクと対策とは

SaaS（サーズ：Software as a Service）とは、インターネットに接続できる環境さえあれば、いつでもどこでも利用できるソフトウェアやアプリケーションサービスです。ビジネスチャットやオンラインストレージなど、多くの方が一度は利用した経験があるでしょう。

しかし利用時には、セキュリティ面のリスクとも向き合う必要があります。本項では、SaaS利用にともなうセキュリティリスクについて解説します。

アカウントと権限の管理に関わるリスク

同時に複数の利用者が作業できるという利点の裏に、アカウントや権限の管理が甘いとセキュリティ面での脆弱性を招くというリスクがあります。

例えば、従業員の異動・退職などの際にアカウントや権限の削除が行われなかった場合など、情報の不正利用や「なりすまし」の温床となるリスクが高まっていまいます。

IDやパスワードの管理が不適切であると社内だけでなく大切な顧客情報など社内の情報資産の漏洩に繋がるため、厳重な管理システムを構築しておく必要があるでしょう。

アクセス制御に関わるリスク

SaaSにアクセスする際には、適切なタイミングで必要な許可が与えられる「アクセス制御」が必須となります。

アクセス権限が適切に設定されていない場合とは、アクセス権限が過剰に与えられているケースや、必要な人に権限が与えられていないケースなどです。

アクセス権が誰にでも与えられているような状況では、情報漏洩や不正アクセスに対して無防備となってしまいます。反対に必要な状況でアクセスできないとなると、業務効率を著しく損なってしまうでしょう。

SaaSを利用する際には、アクセス制御の設定を適切に行うほか、定期的にアクセス権の見直しを図ることで、セキュリティリスク軽減に繋がります。

SaaSを安全に活用するために、多くの企業はセキュリティ対策製品の導入も同時に行っています。
SaaSに安全に接続できるネットワークセキュリティの他に、セキュリティリスク軽減のために考えられる対策についてご紹介します。

アカウント情報を適切に管理する

IDやパスワードの管理を徹底することは、基本にして最も効果的な対策と言えるでしょう。アカウント情報を不正に利用される可能性を排除することが、SaaS利用にともなうセキュリティリスク軽減には必須です。

パスワードを設定する際には、推測が容易なパスワードを避けること、複数サービスで同一のパスワードを使いまわさないことが重要です。大文字・小文字・数字・記号から構成される長いパスワードは、高い安全性を確保してくれます。

ただし、複雑なパスワードを複数設定することで、利便性の低下を招く恐れもあるでしょう。
対策として、IDaaSを導入する企業も増えています。IDaaSで「シングルサインオン」や「アクセス制御」などを活用し、安全性と利便性を両立させる対策を施すことができます。

社員のネットリテラシーの強化

セキュリティリスク軽減のために、組織内でネットリテラシーの強化を図ることも効果的です。クラウド上で発生し得るセキュリティリスクについて、各ユーザーが適切な認識を持っておく必要があります。

正しい認識を持てばリスクを未然に防ぐことは十分に可能です。怪しげなフィッシングメールを開封すること、不用意にリンクをクリックすること、機密性の高い情報に必要以上のアクセス権限を与えてしまうことなど、適切な知識さえあれば回避できるリスクは多数あります。

また、情報漏洩や不正アクセスの及ぼす企業や個人における影響、罰則について周知することも対策として有効です。必要に応じて専門家による講習会などを開くほか、社内でルールを作成し遵守する意識を高めましょう。ルールの妥当性を常に検証し、従業員の意見を反映させることにより、ルールの形骸化防止に努めることも大切です。

SaaSを利用する際に生じるリスクとは、具体的にどのようなものでしょうか。

本項では、不正アクセスや情報漏洩が生じるプロセスを理解するために、実際に発生したインシデント事例を紹介します。

パスワード漏洩による不正アクセス

SaaSを利用する際に必要となるパスワードは、ベンダー側が設定した安全性の高いものが初期設定されているのが一般的です。しかし安全性の高いパスワードは概して入力に手間がかかるため、複数のSaaSを効率良く利用するために、利便性の高いパスワードに変更する場合があります。

例えばそこで変更したパスワードが安易なものであったり、複数サービスやユーザーによって使い回していたりしたとします。そのような場合にパスワード漏洩の危険性が増し、悪意のあるアクセスに曝されるリスクが高まってしまうのです。

反対に、安全性を高めるために複雑すぎるパスワードに設定変更した場合にも、パスワード漏洩に繋がる場合があります。パスワードを忘れないようメモを残すといった行為により、第三者にパスワードが知られるリスクを招いてしまうためです。

不適切なアクセス制御

アクセス制御を適切に行わなかったために、大規模な情報漏洩に繋がってしまった事例があります。人為的なミスやセキュリティ意識の低さから、アクセス権の設定を誤る可能性には常に注意が必要です。

2020年12月には、サーバー更新時におけるアクセス権設定のミスにより、電子決済サービスの提供企業が保有する約2,000万件の機密情報が外部に漏れるという事案が起こりました。

SaaSは業務効率化に有用なサービスであることは間違いありません。しかし、ユーザー側でアカウント管理やアクセス制御を適切に行わないと、致命的な情報漏洩に繋がる可能性があることを念頭に置くべきです。

SaaS利用に際して起こり得るインシデント事例があるからといって、利用をやめる判断するのは早計です。

本項では、セキュリティリスクに対する不安を払拭するSaaSのメリットについて解説します。

利用者の責任範囲の狭さ

端末の紛失から不正アクセスを招いた場合や、パスワードを第三者に漏らした場合など、利用者に明らかな過失があれば、当然ですが利用者に責任があります。

しかし、適切に運用されている場合において、SaaSの利用に際して生じたインシデントの責任はベンダー側が負うことになります。利用者側で施すべき対策の範囲も狭いのがメリットと言えるでしょう。

適切に利用する限りにおいては、利用者側の責任は小さくベンダーからの補償も受けられます。

専門業者にインシデント対応を任せられる

自社で運用するオンプレミスのシステムなどでは、インシデント発生時の対応を自社で行う必要があります。対応に割くリソースも自社で負担しなくてはなりません。

それに対しSaaSを利用する場合では、ベンダー側にインシデント対応を任せられるというメリットがあります。専門的な知識を持つプロに対応を任せられる点は大きな強みです。

SaaS選定の際には、インシデント対応をどれほどベンダー側に任せられるかという視点で選ぶのが良いでしょう。

脆弱性診断やセキュリティ対策の更新も任せられる

次々と発見されるシステムの脆弱性に対策を講じ、多様化するサイバー攻撃に対処していくためには、専門的な知識・経験および多大な時間・労力が必要です。自社で対策を実施する余裕がないという企業も少なくないでしょう。

SaaSの脆弱性診断やセキュリティ対策の更新はベンダーに任せられるため、自社ですべてを行う必要がありません。ベンダーのセキュリティポリシーを確認し、安全性やサポートに対する信頼性の高いサービスを選ぶことで、セキュリティ対策はより堅牢なものとなるはずです。

まとめ

クラウドサービスの発達とともに、SaaSを有効活用する機会は増加しています。同時に、不適切な運用や安全意識の欠如によるセキュリティリスクは何としても避けなければならない状況です。

SaaS利用時のセキュリティ対策でお悩みの際には、サイオステクノロジーにご相談ください。