
SaaSを利用する際のセキュリティリスクと企業に求められる対策
SaaSは、端末にソフトウェアをインストールすることなく、インターネットを介して必要なアプリケーションを利用できるため、利便性・柔軟性の高いクラウドサービスの利用形態として幅広い業務に活用されています。
一方で、SaaSを利用する際は、セキュリティリスクを考慮して運用する必要があります。情報システム部門(以下、情シス)や管理部門では、企業の情報資産を守るためのセキュリティ対策を行うことが重要です。
この記事では、SaaSの利用で生じる社内のセキュリティリスクやユーザー企業に求められる対策、SaaSのセキュリティ管理に役立つツールについて解説します。
なお、SaaS管理における問題についてはこちらの記事をご確認ください。
目次[非表示]
- 1.SaaSの利用で生じる社内のセキュリティリスク
- 2.ユーザー企業に求められるSaaSのセキュリティ対策
- 2.1.➀ネットワークの制御
- 2.2.②ID・パスワードの管理
- 2.3.③ログイン時の認証強化
- 2.4.④アクセス権限の設定
- 2.5.⑤データの暗号化とバックアップ
- 2.6.⑥クラウド事業者とSaaSサービスの定期的な評価
- 3.SaaSのセキュリティ管理に役立つツール
- 4.まとめ
SaaSの利用で生じる社内のセキュリティリスク
SaaSは、社内・社外といったネットワークに関係なく、インターネット環境があれば端末を問わずサービスにアクセスできるため、企業にとってさまざまなセキュリティリスクがあります。
マルウェアの侵入
SaaSを利用する際に、端末にマルウェアが侵入するリスクがあります。マルウェアの侵入経路には、以下が考えられます。
▼SaaS利用時におけるマルウェアの侵入経路
- SaaSサービスの脆弱性
- SaaSサービス上で保存するメールやファイル
- OSの脆弱性
- マルウェア対策ソフトウェアが導入されていない端末の使用 など
端末がマルウェアに感染すると保存されたデータの窃取・改ざんが行われたり、社内ネットワークまで侵入して感染が拡大したりする可能性があります。
また、管理者が許可していない従業員の私物端末が業務に使用される“シャドーIT”が起きることで、SaaSのアクセス時にネットワーク経由でマルウェアが侵入することも考えられます。
なお、シャドーITのリスクについてはこちらの記事をご確認ください。
不正アクセス
SaaSのログインにおいて、第三者による不正アクセスが行われるリスクがあります。不正アクセスが行われる主な原因には、以下が挙げられます。
▼不正アクセスが行われる主な原因
- 端末の紛失や盗難によるID・パスワード情報の流出
- 脆弱なパスワードの運用
- 管理者によるアクセス権限の設定不備 など
業務に利用するSaaSへの不正アクセスが行われると、機密情報の漏えいや保存されたデータの消失、改ざんなどの被害につながる可能性があります。
通信データの盗み見
ネットワークを介して通信データが盗み見されることも、SaaSを利用するリスクの一つです。特に社外ネットワークを利用してアクセスする場合には、通信の安全性が懸念されます。
▼通信データの盗み見が行われる主な原因
- 無料Wi-Fiの使用
- テザリングによるWi-Fiの使用
- 無料VPNの使用
- VPNの認証や暗号化の脆弱性 など
業務や顧客に関するデータが盗み見されると、外部に情報が公開されてしまったり、第三者による悪用が行われたりする可能性があります。
なお、一般的なクラウドサービスでは、ベンダーとユーザーでセキュリティに関する責任を共有する“責任共有モデル”が採用されています。詳しくは、こちらの記事をご確認ください。
ユーザー企業に求められるSaaSのセキュリティ対策
SaaSの利用によるリスクを回避するには、ネットワークの制御や認証の強化、アクセス権限などによってセキュリティ対策を行うことが重要です。
➀ネットワークの制御
SaaSのアクセス経路における通信データの盗み見やサイバー攻撃を防ぐには、ネットワークの制御が必要です。
社内のみでSaaSを利用する場合と、自宅やコワーキングスペースなどでテレワークをする場合では、ネットワークの制御方法が異なります。
▼オフィスワークのみの場合
- 特定のグローバルIPアドレスのみでアクセスを許可する設定を行う
- 内部と外部ネットワーク間の不正な通信をブロックするファイアウォールを導入する など
▼オフィスワークとテレワークを行う場合
- 社外からのアクセス時には特定のVPNの使用を指示する
- 不正な通信を検知・遮断するIDS(※1)・IPS(※2)を導入する
- クラウド環境のサーバ上で不正な通信をブロックするクラウド型ファイアウォールを導入する など
また、テレワークでSaaSにアクセスする際には、無料Wi-Fiや未許可のVPNは使用しないように社内へ周知することも必要です。
※1…IDS(Intrusion Detection System:不正侵入検知システム)
※2…IPS(Intrusion Prevention System:不正侵入防止システム)
②ID・パスワードの管理
SaaSへの不正アクセスを防ぐには、ID・パスワードの管理を徹底してなりすましによるログインが行われないようにすることが重要です。
情シスや管理部門では、強固なパスワードの設定や保存方法について従業員への教育を行う必要があります。
▼適切なパスワードの設定・保存方法
- 推測されにくいランダムな文字列を使用する
- 複数のSaaSやシステムで同じパスワードを使い回さない
- パスワードを電子メールでやり取りしない
- ログイン情報をメモに記載する場合は鍵のかかる場所に保存する
- 従業員が退社した際はアカウントの即時停止を徹底する など
また、複雑なパスワードを自動生成したり、クラウド上に暗号化したパスワードを保存したりできるパスワードマネージャーを利用する方法もあります。
なお、ID管理についてはこちらの記事で詳しく解説しています。
③ログイン時の認証強化
第三者による不正アクセスの対策を行うには、ID・パスワードの管理に加えてログイン時の認証方法を強化することも必要です。
▼SaaSのセキュリティを高める認証方法
認証方法 |
概要 |
クライアント証明書 |
端末に電子証明書をインストールしてユーザー本人であることを認証する方法 |
シングルサインオン
(SSO)
|
1つのID・パスワードでユーザー認証を行い、ほかのSaaSサービスにもログインできるようにする方法 |
多要素認証 |
知識情報・所持情報・生体情報のうち、2つ以上の異なる要素を組み合わせて認証する方法 |
SaaSにはID・パスワードのみでログインできるサービスがありますが、複数の方法でユーザー認証を行うことでなりすましを防止できます。
④アクセス権限の設定
業務の内容や役職に応じて、SaaSのアクセス権限を設定することが重要です。許可されていないユーザーからのアクセスを防ぐことで、なりすましや内部不正による情報漏えい、データ改ざんなどのリスクを避けられます。
▼SaaSのアクセス権限を設定する際の注意点
- 取り扱う情報の重要性や機密レベルに応じて閲覧・編集権限を設定する
- 従業員の退職や配置変更の際は漏れなく権限変更を行う
- 管理者権限を持つユーザーは最小限に設定する など
⑤データの暗号化とバックアップ
SaaSに保存するデータについては暗号化とバックアップを行います。
データの保存時に暗号化することで、不正アクセスが行われた場合にも情報漏えいを防止できます。
▼SaaSのデータを暗号化する方法
- クラウド事業者が提供する暗号化機能を設定する
- ユーザー企業が独自の暗号鍵を生成してSaaS上で使用するBYOK(※)の手法を取り入れる
また、物理的・ネットワーク的に隔離された場所でバックアップを取得しておくと、マルウェア感染やサイバー攻撃によってデータが消失・改ざんされた場合に復元することが可能です。
バックアップの方法やポイントについてはこちらの記事をご確認ください。
※BYOK(Bring Your Own Key:独自の鍵の持ち込み)
⑥クラウド事業者とSaaSサービスの定期的な評価
サービス提供者やSaaSサービス自体の評価を定期的に実施することも重要です。
クラウドサービスは日々更新し続けられており、生じるセキュリティリスクも変わります。定期的に評価を行うことで、早い段階でセキュリティリスクを発見・対処することが可能です。
▼評価する項目の例
- 認証資格の取得有無
- クラウド事業者が管理・保存する情報
- SLA(※)に記載されたSaaSサービスの品質や保証内容 など
※SLA(Service Level Agreement)は、サービス提供者と間で結ばれるサービスの品質・機能・性能に関するサービスレベルの水準のこと
SaaSのセキュリティ管理に役立つツール
SaaSのセキュリティ管理に役立つツールを活用することで、情シスや管理部門の負担を軽減するとともに、安全な運用体制を構築できます。
▼SaaSのセキュリティ管理に役立つツール
ツール |
概要 |
IDaaS
(Identity as a Service)
|
複数のSaaSサービスに登録されているID・パスワードをクラウド上で一元管理する |
CASB
(Cloud Access Security Broker)
|
SaaSサービスの利用状況を可視化してアクセスの監視・制御やデータの保護などを行う |
SSPM
(SaaS Security Posture Management)
|
SaaSアプリケーションのセキュリティ設定を監視・評価して設定不備や不正アクセスを防止する |
MAM
(Mobile Application Management)
|
モバイル端末にインストールされたアプリケーションを管理して利用制限や遠隔消去などを行う |
EMM
(Enterprise Mobility Management)
|
モバイル端末とアプリケーション、保存データなどを総合的に管理する |
まとめ
この記事では、SaaSのセキュリティ対策について以下の内容を解説しました。
- SaaSの利用で生じる社内のセキュリティリスク
- ユーザー企業に求められるSaaSのセキュリティ対策
- SaaSのセキュリティ管理に役立つツール
SaaSを利用する際には、マルウェアの侵入や不正アクセス、通信データの盗み見などが発生するリスクがあります。セキュリティ管理に役立つツールを活用することで、SaaSのID管理やアクセス制御、脅威の防御などを効率的に行えます。
『FGLテクノソリューションズ』では、約20年にわたって蓄積した経験とノウハウを基に、ITインフラの構築や運用管理のサポートを行っています。SaaSの選定・導入や運用管理、セキュリティ対策などもお任せください。