SaaS利用におけるセキュリティの課題と対策法とは?リスクについて解説

記事更新日:2022/07/31

SaaS

IDとパスワードの画面・セキュリティ

近年拡大しているクラウドサービス「SaaS」。便利に利用できる反面、様々なセキュリティリスクが存在します。本記事では、そんなSaaS利用におけるセキュリティ対策について、リスクや課題など詳しく解説していきます。

SaaSとは?

SaaS (Software as a Service:サービスとしてのソフトウェア )は、クラウド上にあるソフトウェアをインターネットを介して利用するサービスです。ソフトウェアのインストールや開発環境を整える必要が無いため、初期費用を抑えられます。

また、メンテナンス、アップデート、バックアップ作業もサービス会社が実施するため、自社側の手間はありません。システム障害への対応もサービス会社の役目なので、自社のシステム担当者の業務負担を大幅に削減できます。

ほかにも、インターネット環境さえ整っていれば、端末や場所を問わずアクセスできる点もSaaSの特徴です。自宅やサテライトオフィスなど、社外からスムーズにアクセスできる体制が整うことから、自由度の高い働き方を実現できます。

表:SaaS利用のメリットとサービス

メリット サービスの種類
内容
  • 初期費用とランニングコストの削減
  • 運用負担の軽減
  • 業務効率の改善
  • マルチデバイス対応
  • 柔軟な働き方の実現
  • オンラインストレージ
  • グループウェア
  • チャットツール
  • SFA
  • CRM

SaaS利用におけるセキュリティリスク

SaaSを利用した場合に発生するセキュリティリスクは、以下の3点です。

  • 情報漏洩やデータ改ざん
  • 乗っ取り・パスワードの奪取
  • 何らかの障害による業務への影響

これまで培ってきたノウハウや取引先の情報が流出する可能性があるため、セキュリティリスクを踏まえたうえでSaaSの導入を検討していきましょう。

情報漏洩やデータ改ざん

SaaSの利用によって、情報漏洩やデータ改ざんのリスクが高まる理由は2つあります。1つ目は、社外からクラウドサービスやアプリにアクセスする機会が増える点です。

SaaSはインターネット環境さえ整っていれば、アクセス地点やモバイル端末を問わず利用できる点がメリットです。ただし、通信内容が暗号化されていない無料Wi-Fiサービスを利用した場合、第三者からデータの改ざんや破壊されるリスクが高まります。

さらに、第三者からノートPCの画面を覗き見される可能性や、スマートフォンの紛失・盗難によって、情報漏洩に発展するリスクもゼロではありません。

2点目は、多くのSaaS提供会社がサービスをパブリッククラウドで提供している点です。パブリッククラウドは不特定多数のユーザーが利用できるよう、オープンな環境でサービスを提供するシステムを意味します。

また、セキュリティ設定は自社でする必要があります。アクセス権限や情報公開の範囲設定ではミスが生じやすく、設定を間違えたために機密情報が流出してしまったケースもゼロではありません。

ほかにも、インターネット上での接続時間が長いことから、サイバー攻撃・マルウェア感染・不正アクセスのリスクが生じます。

乗っ取り・パスワードの奪取

組織全体のITリテラシーが低いと、従業員のID・パスワードを悪用され、情報漏洩に発展するリスクが高まります。

ITアドバイザリ企業のガートナー社の調査によると、2021年4月時点の日本企業のSaaS利用率は、39%です。前年比で8%増加しています。

効率化が期待できるSaaSを導入することは企業にとってプラスに働きますが、単一パスワードを使い回してサービスを利用する社員がいる場合は、セキュリティ上のリスクが懸念されます。

第三者にハッキングされた場合、機密情報が入ったデータファイルへアクセスされる可能性もゼロではありません。近年では、ユニクロ、サイバーエージェントといった大手企業が、パスワードリスト型の攻撃被害を受けています。

さらに、近年はビジネスメールによって、IDやパスワードを引き出すフィッシングメールの被害も散見されており、従業員のITリテラシー向上に向けた教育が不可欠です。

また、ランサムウェアをサービスとして利用できるRaaSの増加も見逃せません。ランサムウェアは、使用中のファイルやシステムを暗号化して機能不全状態にし、機能を復旧させる代わりに膨大な身代金を要求するマルウェアの一種です。

2017年にはWannaCryによってイギリスやドイツが大きな被害を受けたほか、近年はEmotetと連動した形でのランサムウェア被害が増えています。

RaaSの台頭によって、一定の料金さえ支払えばランサムウェアが手に入る環境ができつつあるため、各企業はより一層強力なセキュリティ対策を講じなければなりません。

[出典:ガートナージャパン株式会社「ガートナー、日本企業のクラウド・コンピューティングに関する調査結果を発表」]

何らかの障害による業務への影響

SaaS提供会社のサーバーやシステムが第三者によって攻撃を受けた場合、復旧するまでサービスは利用できません。

例えば、自社でGoogleWorkSpaceを導入している場合、Googleがサイバー攻撃を受けてシステム障害が起きると、ドキュメントやスプレッドシートなどが使えなくなります。

復旧するまで業務を再開できないため、納品遅れや成果物の品質低下を招く可能性が高まります。特定の企業が提供しているSaaSの使用率が高まるほど、システム障害が起きた場合の影響範囲が広がってしまうのです。

システム障害による業務停止を回避するためにも、サービス提供会社がどのようなセキュリティ対策を講じているかを、導入前に調査するよう心がけましょう。また、バックアップ対策を考えておくことも重要です。

SaaS利用で実際に起きたセキュリティ事故・インシデント事例

ここからは、SaaS利用によって発生する情報漏洩やセキュリティ事故に関する事例を3つ紹介します。

  1. ポートの不用意な開放
  2. 強度の低いパスワードの設定
  3. 不適切なネットワークのアクセス制御

特に気をつけたいのが、2と3です。解読しやすいパスワードを設定すると、第三者からアカウント情報をハッキングされやすくなり、不正アクセスや情報漏洩が起きる可能性が高まります。

また、セキュリティ意識の低さが原因で、アクセス権限や多要素認証での設定ミスが多発しています。大規模な情報漏洩事件に発展したケースもあるため、注意が必要です。

事例1:ポートの不用意な開放

サーバーのポートを開放すると、外部から自社システムやアプリケーションにアクセスできる環境が構築できます。ただし、不必要なポート番号を開放した場合、トロイの木馬に感染するリスクが高まります。

トロイの木馬とは、ファイルやアプリケーションになりすまし、脆弱性攻撃やDDos攻撃を仕かけるマルウェアの一種です。個人情報の流出やモバイル端末の不正利用を招くため、十分に警戒しなければなりません。

特に注意したい点が、ITリテラシーの低いユーザーによって、開ける必要のないポート番号が開放される事態です。

例えば、ポート番号20〜22は、普段閉じていても、ユーザーの利便性や操作性に影響を与えるポート番号ではありません。ただし、不用意に開放した場合は、トロイの木馬に感染するリスクが高まります。

システム担当者の業務範囲は幅広く、一人ひとりの従業員の行動に細かく目を配れるわけではありません。ITリテラシーの低さやコミュニケーション不足によって情報漏洩のリスクが高まるため、不必要な行動を控えるよう組織内で徹底しましょう。

事例2:強度の低いパスワードの設定

規則性のある解読されやすいパスワードを設定していると、パスワードリスト型攻撃やハッキングの被害に遭い、情報漏洩に繋がるリスクが高まります。

例えば、ベンダー側が設定していた初期パスワードを変更したあとに、不正アクセスやマルウェア感染の被害を受けたとします。その場合、変更したパスワードやアクセス権限に問題が生じてしまうのです。

また、従業員が複数のSaaSへ効率的にログインするため、単一のパスワードを使い回している場合も、セキュリティリスクの高い状態といえます。

単一パスワードの使い回しは、第三者にIDやパスワードをハッキングされる可能性を高めます。機密情報の漏洩を招いた場合は、利益損失や経費の増大、社会的信用低下といった事態を引き起こしてしまうため、パスワード設定は軽視できないポイントです。

事例3:不適切なネットワークのアクセス制御

アクセス権や多要素認証の設定ミスによって、外部からの不正アクセスを許し、情報漏洩に繋がるケースも増えています。

2020年には楽天とPayPayが、Salesforceにおけるアクセス権の設定ミスを突かれ、合わせて2千万件以上の個人情報流出に発展し、話題となりました。SaaSでの設定ミスが多発する原因は、ユーザーのセキュリティ意識の低さです。

SaaSでは、メンテナンスやバックアップ作業をベンダー側が請け負うため、自社の従業員の運用負担を軽減できる利便性の高いサービスです。ただし、ベンダー側はあくまでSaaSが正常に機能するよう、安全な環境を整備するのが役目です。

アカウント情報やアクセス権限の設定など、情報資産を守る体制の環境構築は、自社で対応しないといけません。また、閉鎖的なネットワーク環境を構築するオンプレミスとは異なり、SaaSの場合はひとつの設定ミスが致命的なセキュリティホールとなりえます。

SaaS利用でユーザー側が対策すべきセキュリティ課題

ユーザーが実施すべきセキュリティ対策は、主に以下の2点です。

  • アカウント情報の管理
  • アクセス制御

それぞれ詳しく解説していきます。

アカウント情報の管理

パスワードリスト型攻撃やハッキングにともなう不正アクセスを防ぐためにも、アカウント情報の管理が重要です。単一パスワードの使い回しや解読しやすいパスワード設定を禁止するだけでなく、文字数の多い難解なパスワード設定の徹底が求められます。

ただし、複数のSaaSを会社で利用するケースも珍しくないため、セキュリティ性だけでなく、利便性にも目を向けなければなりません。安全性と利便性を両立するためにも、IDaaSの導入がおすすめです。

IDaaSは、ID管理・多要素認証・シングルサインオンなどを搭載しており、不正アクセスのリスク軽減と利便性向上の両立が期待できるサービスです。

また、ユーザー・プロビジョニングやアクセスコントロールによって、ユーザー属性に応じたアクセス権限を設定しておけば、設定ミスにともなう情報漏洩リスクを抑えられます。

表:IDaaSの主な機能

機能 期待される効果
シングルサインオン
  • 他のサービスへの自動ログイン
  • 業務効率の改善
  • ストレス削減
  • アカウント情報管理やサーバー運用の負担軽減
  • 不正アクセスのリスク軽減
  • 不正行為の早期発見
多要素認証
  • ワンタイムパスワード
  • プッシュ認証
  • 生体認証
ID管理・連携
  • IDaaSのアカウント管理
  • 各SaaSアカウント管理
  • 入社、退社、部署異動に応じて情報を更新
  • Active Directoryとの連携
アクセスコントロール
  • アクセス地点、モバイル端末、ユーザー、時間によるアクセス制限
ユーザー・プロビジョニング
  • アカウント情報の作成、保守、削除
  • アクセス権限の付与と制限
  • パスワードポリシーの設定
ログ・レポート
  • ユーザーの行動を可視化
  • パスワード変更履歴の把握

アクセス制御

利用サービスの設定を見直し、アクセス権限の過剰付与にともなう不正アクセスや情報漏洩リスクの軽減を試みましょう。見直しのあとに多要素認証やIDaaSを導入しておけば、アカウント情報をハッキングされた場合の被害を最小限に抑えられます。

SaaSの導入によって外部からのアクセス機会が増加するため、第三者からの不正アクセスや、なりすましを防ぐセキュリティ対策が必要です。さらに、従業員の所属部署や役職に応じて、閲覧できるデータファイルを制限することが重要です。

また、DLPの導入によって、機密情報の情報漏洩リスクは最小限に抑えられます。DLPとは、自社が重要情報と定めた情報のみを監視対象とし、保護するセキュリティツールです。仮に第三者が監視対象の情報を盗み出そうとした場合はブロックできるため、情報漏洩を防げます。

SaaS利用時に行うべきセキュリティ対策|サービス側

SaaS提供会社が実施する必要のあるセキュリティ対策は、次の6点です。

  • 多要素認証の導入
  • ファイアウォールの設定
  • セキュリティパッチの適用
  • 通信の暗号化
  • 定期的なバックアップの取得
  • 定期的なセキュリティ診断の実施

それぞれの内容を見ていきましょう。

多要素認証の導入

多要素認証とは、知識・所持・生体要素の3つの要素の内、2つ以上の要素を組み合わせて認証する方法です。二段階認証よりも強力なセキュリティ対策を立てられる点がメリットです。

二段階認証の場合、要素の種類は問わないため、スマートフォンのSMS認証やアプリなど、同じ要素で認証しても問題ありません。そのため、スマートフォンを紛失した場合、第三者に不正アクセスされる可能性があります。

一方、多要素認証の場合は、スマートフォンのSMS認証と顔認証といったように、異なる要素を組み合わせます。そのため、簡単に自社システムへの侵入を許しません。また、生体要素はデータ改ざんが難しいだけでなく、紛失リスクを考える必要が無い点も大きなメリットです。

表:多要素認証の種類

知識要素 所有要素 生体要素
概要
  • ユーザーしか知らない、記憶していない情報を使った認証
  • ユーザー自身が持っているアイテムを使った認証
  • ユーザーの身体的特徴を使った認証
事例
  • パスワード
  • 秘密の質問の答え
  • 暗証番号
  • SMS
  • アプリケーション
  • ICカード
  • 専用トークン
  • 指紋
  • 顔認証
  • 静脈認証
  • 声紋認証
特徴
  • コピーが困難
  • 忘れる可能性
  • 盗み見されるリスク
  • アイテムに応じて、認証レベルが変動
  • 所持している限り、高いレベルの認証が実現可能
  • 紛失や盗難のリスク
  • コピーが困難
  • 紛失や盗難の心配が不要
  • 信頼性が高い
  • 誤認識のリスク

ファイアウォールの設定

社内と外部の境界線にファイアウォールを設定し、不正アクセスやサイバー攻撃を遮断します。ポート番号・プロトコル・IPアドレスなどを事前に設定しておき、条件に合致したパケット以外はアクセスを許可しません。

常にどのようなパケットが社内へのアクセスを試みているかを監視するため、24時間365日、ログを自動で記録します。遠隔からの操作や管理にも対応可能です。

さらに、NAT(Network Address Translation)と呼ばれるアドレス変換機能によって、プライベートIPとグローバルIPを変換します。社内ネットワークで利用するプライベートIPの秘匿性を確保し、第三者からのハッキングを防ぐのに有効です。

ファイアウォールには、パーソナル用とネットワーク用の2種類が存在します。基本的に、ノートPC向けのパーソナル用を導入する必要はありません。WindowsやMacなど、主要OSにはファイアウォールが標準搭載されているためです。

セキュリティパッチの適用

セキュリティパッチは、既にリリースされているOSやソフトウェアに脆弱性が見つかった場合、モバイル端末への悪影響を防ぐために配布される追加プログラムです。

セキュリティパッチを配布しないと、多くのユーザーが脆弱性攻撃やマルウェア感染の被害に悩まされます。特にランサムウェアやDDoS攻撃の被害にあった場合、復旧までに多大なコストが必要になるため、注意が必要です。

脆弱性を発見した場合、サービス提供会社はすぐにセキュリティパッチを配布する必要があります。また、同時にゼロデイ攻撃への対策も欠かせません。

ゼロデイ攻撃とは、OSの脆弱性やセキュリティホールを突いた攻撃を仕かけたあと、セキュリティパッチを更新している間に再び攻撃してくる手法です。自社で把握していない脆弱性を突かれた場合、被害はさらに大きくなります。

実際にFirefoxやアドビシステムズが、ゼロデイ攻撃の被害に遭っています。ゼロデイ攻撃の対策としては、EDRの導入が効果的です。

EDRはスマートフォンやノートPCなど、モバイル端末をエンドポイントとして位置づけ、端末内の異常検知・隔離をおこなうセキュリティツールです。異常を検知した場合はすぐに隔離処置を実行するため、社内システムへの影響を最小限に抑えられます。

また、感染経路や被害範囲の分析機能も搭載しているため、セキュリティ対策の改善にも役立ちます。

通信の暗号化

通信の暗号化は、セキュリティ対策における基本的な方法のひとつです。通信を暗号化していない場合は、相手とのやりとりが丸見えの状態となり、第三者からデータの盗聴・破壊・改ざんされるリスクが高まります。

通信内容を暗号化する手段は、「共通鍵暗号方式」と「公開鍵暗号方式」の2種類が存在します。共通鍵暗号方式は、特定の相手とデータをやりとりする際、暗号化と復号で同じ鍵を使う方法です。

鍵を用意する手間が省けるものの、ユーザーごとに鍵を用意する必要が生じます。一方、公開鍵暗号方式は、暗号化に公開鍵を使用し、復号に秘密鍵を使う方式です。事前に相手へ秘密鍵を渡しておけば、仮に公開鍵を盗まれたとしても情報漏洩には繋がりません。

また、複数人と同じデータを共有する場合でも、用意する公開鍵はひとつで済みます。デメリットとしては、共通鍵暗号方式よりも、ひとつの作業を完結するまでに多くの時間が掛かる点です。

状況に応じて共通鍵暗号方式と公開鍵暗号方式を使い分け、情報漏洩を防いでいきましょう。

定期的なバックアップの取得

サイバー攻撃・マルウェア感染・機器故障にともなうデータ消失を避けるため、日頃から定期的にバックアップデータを取得しておくことが重要です。

オンプレミスと異なり、ベンダー側がバックアップを請け負う点も、ユーザーのSaaS利用メリットのひとつです。ただし、データ流出のリスクが高いとユーザーが判断した場合、他社のSaaSに移行する可能性があります。

クラウド上だけでなく、バックアップサーバーにもデータを保管しておけば、ユーザーに安心感を与えられます。また、自動バックアップによって作業の自動化・省人化が図れれば、システム担当者の業務負担も軽減可能です。

定期的なセキュリティ診断の実施

自社のネットワーク環境や、すでにリリースしているアプリケーションの脆弱性診断を定期的に実施することも重要です。

近年はフィッシング詐欺やサプライチェーン攻撃など、サイバー攻撃が多様化しています。そのため、ベンダー側はユーザーが安心してサービスを利用できるよう、日々セキュリティ対策を強化する必要があるのです。

アプリケーションの脆弱性診断は、脆弱性やセキュリティホールを突いたサイバー攻撃を防ぐ目的があります。自社よりも早く第三者に脆弱性を把握されてしまうと、システムダウンや情報漏洩に繋がる可能性があるため、注意が必要です。

SaaS利用時に行うべきセキュリティ対策|ユーザー側

SaaSの利用において、ユーザー側に必要なセキュリティ対策は、以下の3点です。

  • セキュリティソフトの導入
  • アカウント情報の管理
  • ネットリテラシーの強化

それぞれの対策のポイントを詳しく見ていきましょう。

セキュリティソフトの導入

セキュリティソフトの導入によって、マルウェア感染のリスク軽減と被害の最小化が可能です。マルウェアが仕込まれたスパムメールを自動的にゴミ箱へ振り分けることで、添付ファイルのダウンロードで発生しうるマルウェア感染を防げます。

セキュリティソフトによっては、外部メディアの感染有無をチェックしたり、悪質なプログラムを駆除したりする機能が搭載されています。マルウェアの侵入にともなう動作不良やデータ消失を避けるためにも、セキュリティソフトの導入は欠かせません。

アカウント情報の管理

依然としてパスワードリスト型攻撃にともなう被害事例が多いことから、アカウント情報は厳重に管理する必要があります。

単一パスワードの使い回しや、解読しやすいパスワードの使用を禁止することに加えて、IDaaSを導入し、アカウント情報の管理体制を強化していきましょう。

ネットリテラシーの強化

ネットリテラシーとは、インターネット上の情報を正しく理解する能力や、適切な判断を下す能力のことです。

ネットリテラシーが低いと、セキュリティリスクに対する正しい対応がとれないため、スパムメールの開封やフィッシングサイトの閲覧といった情報漏洩に繋がる行為をとってしまう可能性があります。

ほかにも、ネットリテラシーが低いユーザーは、セキュリティ対策やプライバシー保護に関する意識も乏しくなりがちです。人によっては、機密情報をSNSやブログに掲載するケースも見受けられます。

ネットリテラシーの欠如にともなう機密情報の流出を防ぐためには、情報漏洩が起きた場合の影響を社員へ伝えることが重要です。取引先の情報が流出した場合は、社会的信用やブランドイメージ低下を招き、自社の経営が厳しい状況に追い込まれることを伝えましょう。

仮に社員の過失で情報漏洩が発生した場合、解雇や損害賠償請求に発展し、人生を棒に振る可能性があることを伝えます。自社のリソースだけでは十分なネットリテラシー教育を実施できない場合は、外部講師を招いたセミナーの実施を試みるとよいでしょう。

SaaSは適切なセキュリティ対策を実施して安全な利用を

インターネットの普及やクラウドサービスの浸透などにより、SaaSを業務に活用する企業も増えてきました。

業務効率化や生産性の向上に貢献してくれるSaaSですが、情報漏洩やデータ改ざん、アカウントの乗っ取りといったセキュリティリスクがある点には注意が必要です。

サービス提供会社側は、多要素認証の導入や通信の暗号化、定期的なセキュリティ診断の実施などを通じて、自社サービスのセキュリティ向上を図ります。

ユーザー側はセキュリティソフトの導入やアカウント情報の管理を徹底することに加え、ネットリテラシーの向上に努めていきましょう。

SaaSに対するセキュリティ対策の重要性とポイントを理解したうえで、安全なサービス利用を心がけてください。

次に読みたいおすすめ記事

  • ご相談・ご質問は下記ボタンのフォームまたは、お電話からお問い合わせください。

    お問い合わせはこちら

    TEL:0120-987-053(無料)
    【受付時間】10:00~18:00(土日祝を除く)

ビズクロ編集部
「ビズクロ」は、経営改善を実現する総合支援メディアです。ユーザーの皆さまにとって有意義なビジネスの情報やコンテンツの発信を継続的におこなっていきます。

おすすめ関連記事

メールパーミッションとは?重要性や取得するポイントを解説

2022/11/28

メール配信システム

2022/11/28

メール配信システム

ワークライフバランスを整える働き方とは?仕事と生活のバランスを保つコツ

2022/11/24

ワークライフバランス

2022/11/24

ワークライフバランス

【最新】テレワークにおすすめのキーボード10選!最適な選び方も解説

2022/11/24

テレワーク

2022/11/24

テレワーク

業務改善とは?必要性や基本手順・実施する際のポイントを解説

2022/11/23

業務効率化・業務改善

2022/11/23

業務効率化・業務改善

日程調整メールの正しい書き方とは?返信方法やマナー・注意点を解説

2022/11/23

日程調整ツール

2022/11/23

日程調整ツール

CTB分析とは?特徴や目的・分析方法をわかりやすく解説!

2022/11/23

CRM(顧客管理システム)

2022/11/23

CRM(顧客管理システム)

【2022年最新】タイプ別おすすめ給与計算ソフト!選び方や性能を徹底比較!

2022/11/22

給与計算システム

2022/11/22

給与計算システム

SDGsで簡単に実践できることは?〜私たちの日常生活での取り組み〜

2022/11/22

SDGs

2022/11/22

SDGs

働く女性の理想のワークライフバランスとは?現在の課題や社会進出について

2022/11/22

ワークライフバランス

2022/11/22

ワークライフバランス

日程調整後のお礼メールは必要か?書き方やマナーを文例付きで解説

2022/11/21

日程調整ツール

2022/11/21

日程調整ツール