SaaS利用におけるセキュリティの課題と対策法とは?リスクについて解説
近年拡大しているクラウドサービス「SaaS」。便利に利用できる反面、様々なセキュリティリスクが存在します。本記事では、そんなSaaS利用におけるセキュリティ対策について、リスクや課題など詳しく解説していきます。
目次
SaaSとは?
SaaS (Software as a Service:サービスとしてのソフトウェア )は、クラウド上にあるソフトウェアをインターネットを介して利用するサービスです。ソフトウェアのインストールや開発環境を整える必要が無いため、初期費用を抑えられます。
また、メンテナンス、アップデート、バックアップ作業もサービス会社が実施するため、自社側の手間はありません。システム障害への対応もサービス会社の役目なので、自社のシステム担当者の業務負担を大幅に削減できます。
ほかにも、インターネット環境さえ整っていれば、端末や場所を問わずアクセスできる点もSaaSの特徴です。自宅やサテライトオフィスなど、社外からスムーズにアクセスできる体制が整うことから、自由度の高い働き方を実現できます。
メリット | サービスの種類 | |
---|---|---|
内容 |
|
|
▷SaaSサービスの代表例を14種紹介!導入メリットや注意点を徹底解説!
SaaS利用におけるセキュリティリスク
SaaSを利用した場合に発生するセキュリティリスクは、以下の3点です。
- 情報漏洩やデータ改ざん
- 乗っ取り・パスワードの奪取
- 何らかの障害による業務への影響
これまで培ってきたノウハウや取引先の情報が流出する可能性があるため、セキュリティリスクを踏まえたうえでSaaSの導入を検討していきましょう。
情報漏洩やデータ改ざん
SaaSの利用によって、情報漏洩やデータ改ざんのリスクが高まる理由は2つあります。1つ目は、社外からクラウドサービスやアプリにアクセスする機会が増える点です。
SaaSはインターネット環境さえ整っていれば、アクセス地点やモバイル端末を問わず利用できる点がメリットです。ただし、通信内容が暗号化されていない無料Wi-Fiサービスを利用した場合、第三者からデータの改ざんや破壊されるリスクが高まります。
さらに、第三者からノートPCの画面を覗き見される可能性や、スマートフォンの紛失・盗難によって、情報漏洩に発展するリスクもゼロではありません。
2点目は、多くのSaaS提供会社がサービスをパブリッククラウドで提供している点です。パブリッククラウドは不特定多数のユーザーが利用できるよう、オープンな環境でサービスを提供するシステムを意味します。
また、セキュリティ設定は自社でする必要があります。アクセス権限や情報公開の範囲設定ではミスが生じやすく、設定を間違えたために機密情報が流出してしまったケースもゼロではありません。
ほかにも、インターネット上での接続時間が長いことから、サイバー攻撃・マルウェア感染・不正アクセスのリスクが生じます。
▷SaaS導入の際の選び方やポイント|注意すべき点やおすすめのサービスについて
乗っ取り・パスワードの奪取
組織全体のITリテラシーが低い場合、従業員のID・パスワードを悪用されてしまい、情報漏洩に発展するリスクが高まります。
ITアドバイザリ企業のガートナー社の調査によると、2021年4月時点の日本企業のSaaS利用率は39%で、前年比で8%増加している傾向です。
そのため、効率化が期待できるSaaSを導入することは企業にとってプラスに働きますが、単一パスワードを使い回してサービスを利用する社員がいる場合はセキュリティ上のリスクが懸念されます。
さらに、近年はビジネスメールによって、IDやパスワードを引き出すフィッシングメールの被害も散見されており、従業員のITリテラシー向上に向けた教育が不可欠です。
また、ランサムウェアをサービスとして利用できるRaaSの増加も見逃せません。ランサムウェアは、使用中のファイルやシステムを暗号化して機能不全状態にし、機能を復旧させる代わりに膨大な身代金を要求するマルウェアの一種です。
2017年にはWannaCryによってイギリスやドイツが大きな被害を受けたほか、近年はEmotetと連動した形でのランサムウェア被害が増えています。RaaSの台頭によって、一定の料金さえ支払えばランサムウェアが手に入る環境ができつつあるため、各企業はより一層強力なセキュリティ対策を講じなければなりません。
[出典:ガートナージャパン株式会社「ガートナー、日本企業のクラウド・コンピューティングに関する調査結果を発表」]
何らかの障害による業務への影響
SaaS提供会社のサーバーやシステムが第三者によって攻撃を受けた場合、復旧するまでサービスは利用できません。
例えば、自社でGoogleWorkSpaceを導入している場合、Googleがサイバー攻撃を受けてシステム障害が起きると、ドキュメントやスプレッドシートなどが使えなくなります。
復旧するまで業務を再開できないため、納品遅れや成果物の品質低下を招く可能性が高まり、特定の企業が提供しているSaaSの使用率が高まるほどシステム障害が起きた場合の影響範囲が広がってしまうのです。
システム障害による業務停止を回避するためにも、サービス提供会社がどのようなセキュリティ対策を講じているかを、導入前に調査するよう心がけましょう。また、バックアップ対策を考えておくことも重要です。
▷SaaS導入の際の選び方やポイントは?注意すべき点も解説!
▷SaaS企業にとって重要な利用規約とSLAの規定すべき項目について
SaaS利用で実際に起きたセキュリティ事故・インシデント事例
ここからは、SaaS利用によって発生する情報漏洩やセキュリティ事故に関する事例を3つ紹介します。
- ポートの不用意な開放
- 強度の低いパスワードの設定
- 不適切なネットワークのアクセス制御
解読しやすいパスワードを設定すると、第三者からアカウント情報をハッキングされやすくなり、不正アクセスや情報漏洩が起きる可能性が高まります。
また、セキュリティ意識の低さが原因で、アクセス権限や多要素認証での設定ミスが多発しています。大規模な情報漏洩事件に発展したケースもあるため、注意が必要です。
事例1:ポートの不用意な開放
サーバーのポートを開放すると、外部から自社システムやアプリケーションにアクセスできる環境が構築できます。ただし、不必要なポート番号を開放した場合、トロイの木馬に感染するリスクが高まります。
トロイの木馬とは、ファイルやアプリケーションになりすまし、脆弱性攻撃やDDos攻撃を仕かけるマルウェアの一種です。個人情報の流出やモバイル端末の不正利用を招くため、十分に警戒しなければなりません。
特に注意したい点が、ITリテラシーの低いユーザーによって、開ける必要のないポート番号が開放される事態です。
例えば、ポート番号20〜22は、普段閉じていても、ユーザーの利便性や操作性に影響を与えるポート番号ではありません。ただし、不用意に開放した場合は、トロイの木馬に感染するリスクが高まります。
システム担当者の業務範囲は幅広く、一人ひとりの従業員の行動に細かく目を配れるわけではありません。ITリテラシーの低さやコミュニケーション不足によって情報漏洩のリスクが高まるため、不必要な行動を控えるよう組織内で徹底しましょう。
事例2:強度の低いパスワードの設定
規則性のある解読されやすいパスワードを設定していると、パスワードリスト型攻撃やハッキングの被害に遭い、情報漏洩に繋がるリスクが高まります。
例えば、ベンダー側が設定していた初期パスワードを変更したあとに、不正アクセスやマルウェア感染の被害を受けたとします。その場合、変更したパスワードやアクセス権限に問題が生じてしまうのです。
また、従業員が複数のSaaSへ効率的にログインするため、単一のパスワードを使い回している場合も、セキュリティリスクの高い状態といえます。
単一パスワードの使い回しは、第三者にIDやパスワードをハッキングされる可能性を高めます。機密情報の漏洩を招いた場合は、利益損失や経費の増大、社会的信用低下といった事態を引き起こしてしまうため、パスワード設定は軽視できないポイントです。
事例3:不適切なネットワークのアクセス制御
アクセス権や多要素認証の設定ミスによって、外部からの不正アクセスを許し、情報漏洩に繋がるケースも増えています。
2020年には楽天とPayPayが、Salesforceにおけるアクセス権の設定ミスを突かれ、合わせて2千万件以上の個人情報流出に発展し、話題となりました。SaaSでの設定ミスが多発する原因は、ユーザーのセキュリティ意識の低さです。
SaaSでは、メンテナンスやバックアップ作業をベンダー側が請け負うため、自社の従業員の運用負担を軽減できる利便性の高いサービスです。ただし、ベンダー側はあくまでSaaSが正常に機能するよう、安全な環境を整備するのが役目です。
アカウント情報やアクセス権限の設定など、情報資産を守る体制の環境構築は、自社で対応しないといけません。また、閉鎖的なネットワーク環境を構築するオンプレミスとは異なり、SaaSの場合はひとつの設定ミスが致命的なセキュリティホールとなりえます。
▷バーティカルSaaS・ホリゾンタルSaaSとは?各特徴やサービス事例を解説
SaaS利用でユーザー側が対策すべきセキュリティ課題
SaaSを利用するユーザーが実施すべきセキュリティ対策は2点あります。
アカウント情報の管理
パスワードリスト型攻撃やハッキングにともなう不正アクセスを防ぐためにも、アカウント情報の管理が重要です。単一パスワードの使い回しや解読しやすいパスワード設定を禁止するだけでなく、文字数の多い難解なパスワード設定の徹底が求められます。
ただし、複数のSaaSを会社で利用するケースも珍しくないため、セキュリティ性だけでなく、利便性にも目を向けなければなりません。安全性と利便性を両立するためにも、IDaaSの導入がおすすめです。
IDaaSは、ID管理・多要素認証・シングルサインオンなどを搭載しており、不正アクセスのリスク軽減と利便性向上の両立が期待できるサービスです。ユーザー・プロビジョニングやアクセスコントロールによって、ユーザー属性に応じたアクセス権限を設定しておけば、設定ミスにともなう情報漏洩リスクを抑えられます。
機能 | 期待される効果 | |
---|---|---|
シングルサインオン |
|
|
多要素認証 |
| |
ID管理・連携 |
| |
アクセスコントロール |
| |
ユーザー・プロビジョニング |
| |
ログ・レポート |
|
アクセス制御
利用サービスの設定を見直し、アクセス権限の過剰付与にともなう不正アクセスや情報漏洩リスクの軽減を試みましょう。見直しのあとに多要素認証やIDaaSを導入しておけば、アカウント情報をハッキングされた場合の被害を最小限に抑えられます。
SaaSの導入によって外部からのアクセス機会が増加するため、第三者からの不正アクセスや、なりすましを防ぐセキュリティ対策が必要です。さらに、従業員の所属部署や役職に応じて、閲覧できるデータファイルを制限することが重要です。
また、DLPの導入によって、機密情報の情報漏洩リスクは最小限に抑えられます。DLPとは、自社が重要情報と定めた情報のみを監視対象とし、保護するセキュリティツールです。仮に第三者が監視対象の情報を盗み出そうとした場合はブロックできるため、情報漏洩を防げます。
▷SaaS事業におけるプライシング戦略の基本と思考プロセスについて
SaaS利用時に行うべきセキュリティ対策|サービス側
SaaS提供会社が実施する必要のあるセキュリティ対策は大きく6つあります。
それぞれの内容を見ていきましょう。
多要素認証の導入
多要素認証とは、知識・所持・生体要素の3つの要素の内、2つ以上の要素を組み合わせて認証する方法です。二段階認証よりも強力なセキュリティ対策を立てられる点がメリットです。
二段階認証の場合、要素の種類は問わないため、スマートフォンのSMS認証やアプリなど、同じ要素で認証しても問題ありません。そのため、スマートフォンを紛失した場合、第三者に不正アクセスされる可能性があります。
一方、多要素認証の場合は、スマートフォンのSMS認証と顔認証といったように、異なる要素を組み合わせます。そのため、簡単に自社システムへの侵入を許しません。また、生体要素はデータ改ざんが難しいだけでなく、紛失リスクを考える必要が無い点も大きなメリットです。
表:多要素認証の種類
知識要素 | 所有要素 | 生体要素 | |
---|---|---|---|
概要 |
|
|
|
事例 |
|
|
|
特徴 |
|
|
|
ファイアウォールの設定
社内と外部の境界線にファイアウォールを設定し、不正アクセスやサイバー攻撃を遮断します。ポート番号・プロトコル・IPアドレスなどを事前に設定しておき、条件に合致したパケット以外はアクセスを許可しません。
常にどのようなパケットが社内へのアクセスを試みているかを監視するため、24時間365日、ログを自動で記録します。遠隔からの操作や管理にも対応可能です。
さらに、NAT(Network Address Translation)と呼ばれるアドレス変換機能によって、プライベートIPとグローバルIPを変換します。社内ネットワークで利用するプライベートIPの秘匿性を確保し、第三者からのハッキングを防ぐのに有効です。
ファイアウォールには、パーソナル用とネットワーク用の2種類が存在します。基本的に、ノートPC向けのパーソナル用を導入する必要はありません。WindowsやMacなど、主要OSにはファイアウォールが標準搭載されているためです。
セキュリティパッチの適用
セキュリティパッチは、既にリリースされているOSやソフトウェアに脆弱性が見つかった場合、モバイル端末への悪影響を防ぐために配布される追加プログラムです。
セキュリティパッチを配布しないと、多くのユーザーが脆弱性攻撃やマルウェア感染するリスクがあり、特にランサムウェアやDDoS攻撃の被害にあった場合には復旧までに多大なコストが必要になるため、注意が必要です。
脆弱性を発見した場合、サービス提供会社はすぐにセキュリティパッチを配布する必要があります。また、同時にゼロデイ攻撃への対策も欠かせません。
ゼロデイ攻撃とは、OSの脆弱性やセキュリティホールを突いた攻撃を仕かけたあと、セキュリティパッチを更新している間に再び攻撃してくる手法です。自社で把握していない脆弱性を突かれた場合、被害はさらに大きくなります。
実際にFirefoxやアドビシステムズが、ゼロデイ攻撃の被害に遭っています。ゼロデイ攻撃の対策としては、EDRの導入が効果的です。
EDRはスマートフォンやノートPCなど、モバイル端末をエンドポイントとして位置づけ、端末内の異常検知・隔離をおこなうセキュリティツールです。異常を検知した場合はすぐに隔離処置を実行するため、社内システムへの影響を最小限に抑えられます。
▷SaaSの指標KPI「LTV」とは?重要性や計算方法・CACとの関係を解説
通信の暗号化
通信の暗号化は、セキュリティ対策における基本的な方法のひとつです。通信を暗号化していない場合は、相手とのやりとりが丸見えの状態となり、第三者からデータの盗聴・破壊・改ざんされるリスクが高まります。
通信内容を暗号化する手段は、「共通鍵暗号方式」と「公開鍵暗号方式」の2種類が存在します。共通鍵暗号方式は、特定の相手とデータをやりとりする際、暗号化と復号で同じ鍵を使う方法です。
鍵を用意する手間が省けるものの、ユーザーごとに鍵を用意する必要が生じます。一方、公開鍵暗号方式は、暗号化に公開鍵を使用し、復号に秘密鍵を使う方式です。事前に相手へ秘密鍵を渡しておけば、仮に公開鍵を盗まれたとしても情報漏洩には繋がりません。
定期的なバックアップの取得
サイバー攻撃・マルウェア感染・機器故障にともなうデータ消失を避けるため、日頃から定期的にバックアップデータを取得しておくことが重要です。
オンプレミスと異なり、ベンダー側がバックアップを請け負う点も、ユーザーのSaaS利用メリットのひとつです。ただし、データ流出のリスクが高いとユーザーが判断した場合、他社のSaaSに移行する可能性があります。
クラウド上だけでなく、バックアップサーバーにもデータを保管しておけば、ユーザーに安心感を与えられます。また、自動バックアップによって作業の自動化・省人化が図れれば、システム担当者の業務負担も軽減可能です。
定期的なセキュリティ診断の実施
自社のネットワーク環境や、すでにリリースしているアプリケーションの脆弱性診断を定期的に実施することも重要です。
近年はフィッシング詐欺やサプライチェーン攻撃など、サイバー攻撃が多様化しています。そのため、ベンダー側はユーザーが安心してサービスを利用できるよう、日々セキュリティ対策を強化する必要があるのです。
アプリケーションの脆弱性診断は、脆弱性やセキュリティホールを突いたサイバー攻撃を防ぐ目的があります。自社よりも早く第三者に脆弱性を把握されてしまうと、システムダウンや情報漏洩に繋がる可能性があるため、注意が必要です。
▷【2023年最新】SaaS管理ツールおすすめ10選!比較ポイントや利用するメリットを解説
SaaS利用時に行うべきセキュリティ対策|ユーザー側
SaaSの利用において、ユーザー側に必要なセキュリティ対策は、以下の3点です。
- セキュリティソフトの導入
- アカウント情報の管理
- ネットリテラシーの強化
それぞれの対策のポイントを詳しく見ていきましょう。
セキュリティソフトの導入
セキュリティソフトの導入によって、マルウェア感染のリスク軽減と被害の最小化が可能です。マルウェアが仕込まれたスパムメールを自動的にゴミ箱へ振り分けることで、添付ファイルのダウンロードで発生しうるマルウェア感染を防げます。
セキュリティソフトによっては、外部メディアの感染有無をチェックしたり、悪質なプログラムを駆除したりする機能が搭載されています。マルウェアの侵入にともなう動作不良やデータ消失を避けるためにも、セキュリティソフトの導入は欠かせません。
アカウント情報の管理
依然としてパスワードリスト型攻撃にともなう被害事例が多いことから、アカウント情報は厳重に管理する必要があります。
単一パスワードの使い回しや、解読しやすいパスワードの使用を禁止することに加えて、IDaaSを導入し、アカウント情報の管理体制を強化していきましょう。
ネットリテラシーの強化
ネットリテラシーとは、インターネット上の情報を正しく理解する能力や、適切な判断を下す能力のことです。
ネットリテラシーが低いと、セキュリティリスクに対する正しい対応がとれないため、スパムメールの開封やフィッシングサイトの閲覧といった情報漏洩に繋がる行為をとってしまう可能性があります。
ほかにも、ネットリテラシーが低いユーザーは、セキュリティ対策やプライバシー保護に関する意識も乏しくなりがちです。人によっては、機密情報をSNSやブログに掲載するケースも見受けられます。
ネットリテラシーの欠如にともなう機密情報の流出を防ぐためには、情報漏洩が起きた場合の影響を社員へ伝えることが重要です。取引先の情報が流出した場合は、社会的信用やブランドイメージ低下を招き、自社の経営が厳しい状況に追い込まれることを伝えましょう。
仮に社員の過失で情報漏洩が発生した場合、解雇や損害賠償請求に発展し、人生を棒に振る可能性があることを伝えます。自社のリソースだけでは十分なネットリテラシー教育を実施できない場合は、外部講師を招いたセミナーの実施を試みるとよいでしょう。
▷【SaaSの重要KPI】チャーンレートとは?目安の平均値や計算式を解説
SaaSは適切なセキュリティ対策を実施して安全な利用を
インターネットの普及やクラウドサービスの浸透などにより、SaaSを業務に活用する企業も増えてきました。
業務効率化や生産性の向上に貢献してくれるSaaSですが、情報漏洩やデータ改ざん、アカウントの乗っ取りといったセキュリティリスクがある点には注意が必要です。
サービス提供会社側は、多要素認証の導入や通信の暗号化、定期的なセキュリティ診断の実施などを通じて、自社サービスのセキュリティ向上を図ります。
ユーザー側はセキュリティソフトの導入やアカウント情報の管理を徹底することに加え、ネットリテラシーの向上に努めていきましょう。
SaaSに対するセキュリティ対策の重要性とポイントを理解したうえで、安全なサービス利用を心がけてください。
▷SaaS・クラウド・ASPの違いとは?正しい定義やPaaS・IaaSとの比較
▷ユニットエコノミクスとは?SaaS事業に欠かせない重要指標KPIを解説
▷SaaSビジネスにおける重要指標となる主要KPIとは?計算式も解説
▷SaaSビジネスの鍵となるカスタマーサクセスとは?重要性について解説
SaaSの記事をもっと読む
-
ご相談・ご質問は下記ボタンのフォームからお問い合わせください。
お問い合わせはこちら