SaaS利用時のセキュリティ対策と効率的なID管理 を行うには
情報システム部門、またはその他、総務などのバックオフィス部門などでは、SaaSの利用増加にともなうID管理業務を負担に感じることも多いのではないでしょうか。ID管理業務は負担が大きい一方で、怠るとセキュリティに重大な影響を与えることになりかねません。
今回の記事では、情報システム部門が抱えるSaaSの利用でよく見受けられる課題と、効率的なID管理を行うことが、なぜセキュリティ対策に繋がるのかについて解説します。
目次
情報システム部門が抱えるSaaS利用の課題
情報システム部門が抱える課題は多岐に渡りますが、SaaSの導入後によく見られる課題には以下のものが挙げられます。
- 運用要員の不足
- セキュリティリスク
- 把握できていないシステムがある
- 内部監査への対応
それぞれの内容を詳しくみていきましょう。
・運用要員の不足
SaaSの管理に限った話ではありませんが、情報システム部門においては慢性的な人手不足である企業も多いかと思います。経済産業省によると、2030年には最大79万人のIT人材が不足するとの報告もあります。
今後、人材が潤沢な環境になることは考えにくいため、業務の効率化は喫緊の課題となります。
SaaSはオンプレミスに比べると導入や設定に関する作業や保守の作業が楽になることが多いことは確かですが、とはいえ、すべての作業がなくなる訳ではありません。
特に手間がかかる作業の1つにアカウントの関連作業があります。
複数のサービスを利用する場合、従業員のID管理にも業務負荷がかかります。人事異動や入退職など、組織内の人員の動きが活発になると、それに応じたIDの新規作成や変更、削除作業が頻繁に発生し、その都度の対応に追われることになりかねません。
従業員の配属部署や担当業務によって必要となるアプリケーションは異なるため、異動の際には使用システムの見直しが必要となり、それぞれのアプリケーションごとにアカウント設定を行う必要があります。
・セキュリティリスク
情報システム部門は、日々発生するセキュリティアップデートやパッチ適用、アクセス権限の設定変更など、セキュリティ関連の業務が多くあります。
さらに、SaaSの利用においてもセキュリティ対策が必要です。
インターネットに接続できれば、どこからでも端末を選ばずに利用できるため、SaaSはとても便利ですが、その便利さを悪用され不正アクセスなど被害に合うことがあります。
SaaSを利用するにあたっても、ログインの認証強化などのセキュリティ対策が必要となります。
・把握できていないシステムがある
各部門やプロジェクトの単位で独自のSaaSを採用している環境では、情報システム部門での管理が行き届かないことがあり、アカウント情報の一元管理が困難な状況も多くみられます。
サービスごとに個別のアカウント管理が必要となり、情報システム部門の管理負荷が増大します。さらに、サービスごとにパスワードポリシーが異なる場合、パスワードの文字数や更新頻度、特殊文字の使用要件などが異なり、統一的な管理がより一層困難になりかねません。
導入部門に管理を任せる場合にも、アカウントの棚卸などが正確に行われない場合、本来削除すべきアカウントが残ってしまうことによる不正アクセスのリスクなどが考えられます。
・内部監査への対応
内部監査への対応も必要です。内部監査対策に必要な作業として、IDの棚卸作業があります。IDの棚卸はIT統制の一環として必須とされており、不要なアカウントの有無や権限の適切性を定期的に確認しなければなりません。
内部監査の際には、部門で管理している全てのシステムに対して、IDの発行状況やアクセス権限の設定内容などの情報を個別に出力・照会する必要があります。
SaaS利用におけるセキュリティ上のリスク
SaaS利用におけるセキュリティ上のリスクには次の内容が挙げられます。
それぞれの特徴を詳しく解説します。
- 脆弱なパスワード設定や運用
- リモートからのアクセス
- マルウェア
・脆弱なパスワード設定や運用
SaaSサービスでの不適切なパスワード管理は、重大なセキュリティリスクをもたらします。ユーザーのセキュリティリテラシーが低い場合、簡単に推測できるパスワードの使用や、複数のサービスで同じパスワードを使い回すなどの危険な行為が発生しやすく、不正アクセスやデータ漏洩の原因となるでしょう。
パスワードポリシーがきちんと守られるよう、サービス側にも配慮が必要になります。
・リモートからのアクセス
自宅やカフェなどの社外で業務を行うことが一般的になった昨今、SaaSはどこからでもデバイスを選ばずにアクセスできるため便利です。
しかしながら、その便利さゆえに、SaaSにログインするためのIDとパスワードさえ分かってしまえば、誰でもアクセスできてしまいます。
会社内のネットワークから支給されたPCのみでSaaSにアクセスするよりも、不正アクセスの危険は高まります。
SaaSにアクセスできるデバイスを制限したり、間違いなく本人であることを確認できる生体認証を用いるなどの方法を検討することが必要になります。
・マルウェア
SaaS利用での、マルウェアによる脅威は一層深刻化しています。特に、フィッシングメールやソフトウェアの脆弱性を突いた侵入など、さまざまな経路がマルウェアに感染するリスクとなりかねません。
クラウドファイル共有サービスは、特に危険な標的です。共有フォルダ内のファイルがマルウェアに感染した場合、複数のユーザーが利用する環境下で急速に被害が拡大する可能性があります。
ランサムウェアによる攻撃では、共有されている重要なビジネスデータが暗号化され、業務に重大な支障をきたす恐れもあるでしょう
SaaS利用の課題を解決するにはシステム導入がおすすめ
SaaS利用の課題やリスクにはID管理システムの導入が解決策の1つとなります。
その理由としては以下の3つがあげられます。
1.効率的なID管理ができる
複数のSaaSを利用する場合、人事イベントが発生する度それぞれのSaaSに対しアカウントの関連作業を行うのは人数が増えるに従い膨大な作業が発生します。
ID管理システムでアカウントを一元管理することによって、今まで複数のSaaSに対し行っていた作業が1度で済むことになります。
また、設定する回数が少なくなることで作業漏れやヒューマンエラーなどによるリスクが軽減します。
2.セキュリティを強化できる
利用するSaaSシステムをシングルサインオン連携し、ログインを1度にしてもIDとパスワードだけの運用とした場合にはセキュリティの強化はあまり望めません。
しかしながら、ID管理システムで利用できる多要素認証の機能によってログインの認証を強化することで不正アクセスなどのリスクを軽減することができます。
IDとパスワードに加え、利用するデバイス(PC、タブレット、スマートフォン など)を会社支給のものに制限したり、生体認証(顔、指紋 など)の認証を追加することによってセキュリティを強化することができます。
3.ユーザーの利便性が向上する
ID管理システムの導入で恩恵があるは、管理者だけではありません。
SaaS利用者にとっても、1日に何度もログイン作業を行ったり、複数のIDとパスワードを覚えたり、パスワードを忘れて問い合わせをする作業がなくなることになります。
ID管理の効率化とセキュリティ強化を実現する上で、IDaaSの導入が効果的な解決策の1つです。IDaaSは、クラウドベースのID管理サービスとして、企業が利用する複数のWebサービスやアプリケーションのアカウント情報を一元的に管理できます。
IDaaSの主要な特徴として、シングルサインオン機能があります。ユーザーは一度の認証で複数のサービスにアクセスできるようになり、利便性が向上するとともに、パスワード管理の負担軽減も可能です。
ID管理システムを利用する場合の不安や課題
SaaSでID管理をする際の不安や課題として、次の3つのポイントを紹介します。
- コスト
- 運用フローの作成や変更
- データの統合時の不具合
それぞれの内容を詳しくみていきましょう。
・コスト
ID管理のためのSaaSを導入する際には、コストの最適化が重要です。多くのサービスでは、セキュリティ機能やアクセス管理機能の充実度に応じて複数の料金プランが用意されており、企業の規模や要件に合わせて適切なプランを選択する必要があります。
不必要に高機能なプランを選択すると、費用対効果の低いシステムとなりかねません。また、利用可能なアカウント数が料金に直結することもあるため、企業の現在の従業員数だけでなく、将来的な人員増加の可能性や、取引先なども含めた外部ユーザーへのアカウント発行の必要性なども考慮に入れた検討が必要です。
・運用フローの作成や変更
ID管理システムは既存のIT環境との連携が不可欠であり、システムの拡張性や他システムとの互換性を十分に評価しなければなりません。将来的なシステム拡張や新たなサービスとの連携の可能性を見据えた検討が重要です。
また、、アカウント発行や権限変更の申請・承認プロセス、部門間での権限移管手順などの作成や、これまで確立されていた業務フローがあった場合には、見直しをする必要があります。
・データ統合時の不具合
長年使用してきた社内システムとの統合では、データの欠損や重複、整合性の崩れなどが起こりかねません。
そのため、導入後のサポート体制が重要な検討ポイントです。自社特有の要件や課題に対して、SaaS提供企業がどの程度きめ細かな対応をしてくれるかを事前に確認する必要があります。
日本時間でのサポート提供体制や、緊急時の対応方針などを詳細に確認しておきましょう。
まとめ
今回の記事では、SaaS利用時のセキュリティ対策としてID管理がどのように役立つのかを紹介しました。
情報システム部門では、従業員のID管理で負担を抱えています。人事異動や入退職など、組織内の人員の動きが活発になると、それに応じたIDの新規作成や変更、削除作業が頻繁に発生し、その都度の対応に追われることになりかねません。
また、部署ごとに異なるシステムを利用している状況では、各システムの特性に応じて個別のアカウント管理が必要となり、情報システム部門の管理負荷が増大します。
ID管理の効率化とセキュリティ強化を実現する上で、IDaaSの導入が効果的な解決策の1つです。
ぜひお気軽にご相談ください
ゼロトラストの構成要素に欠かせない統合的なID管理を実現します。
\詳しいPDF資料はこちら/
資料ダウンロードはこちら \お見積りや導入のご相談はこちら/
お問い合わせはこちら 
無料デモ依頼
資料ダウンロード
