リスクとセキュリティに関する SaaS 契約交渉のベスト プラクティス 5 つ

リスクとセキュリティに関する SaaS 契約交渉のベスト プラクティス 5 つ

COVID-19パンデミックによりリモートワークへの大規模な移行が進んだため、今年はSaaS製品の導入も加速しました。この傾向により、企業が直面するサイバー脅威が増加し、SaaS 契約の交渉時に組織が考慮する必要があるセキュリティとリスク要因への注目が高まっています。

ガートナーは、パブリッククラウドサービス市場全体が今年は昨年の2,427億ドルから2,579億ドルへと6.3%成長すると予測している。 SaaS セクター自体も、パンデミック中に新しいコラボレーション ツールの需要が高まったことなどから、昨年の 1,020 億ドルから 1,046 億ドルに達すると予想されています。

[[351608]]

SaaS サービスの採用が増えるにつれて、潜在的なセキュリティ問題に対する懸念も高まります。 AppOmni が最近 200 人の IT プロフェッショナルを対象に実施した調査では、回答者の 66% が、エンタープライズ SaaS 環境がビジネス中断のリスクを最も高めていると考えている一方で、SaaS アプリケーションを保護するための時間もあまりないと答えています。

「セキュリティの観点から、議論のほとんどはデータ保護と、可用性やデータが危険にさらされるインシデントが発生した場合に何が起こるかに関するものだ」と451グループのアナリスト、ダニエル・ケネディ氏は語った。

Kennedy 氏らは、SaaS 契約を交渉する際には、リスクとセキュリティの要素が適切に対処されるように、次の 5 つの重要な考慮事項を念頭に置くことが重要であると考えています。

1. 組織に関連するリスクのリストを作成する

SaaS 契約でセキュリティ条件を交渉する場合、万能のアプローチはありません。何をする必要があるか(そして何ができるか)は、現在の状況によって大きく異なります。組織の規模と SaaS プロバイダーの規模が重要です。一般的に言えば、規模が大きくなればなるほど、また計画しているサービス購入が大きくなればなるほど、レバレッジは大きくなります。

SaaS プロバイダーと交渉する前に、RFP フェーズであっても、システムの目的の使用を検討する必要があります。たとえば、SaaS システムを使用して組織の顧客関係を管理することを計画している場合、SaaS ベンダーが顧客データをどのように保護し、システムの安定性と信頼性をどのように確保するかに重点を置く必要があると、ガートナーのシニア リサーチ ディレクターであるルーク エラリー氏は述べています。一方、使用を計画している SaaS システムが学習管理システムなど、より社内向けである場合、データの機密性は低く、サービスがビジネス上重要になる可能性は低くなる、と彼は述べた。

「ベストプラクティスは、セキュリティ、プライバシー、地理、規制、事業継続、災害復旧などの主要なリスクのリストを作成することです」とエラリー氏は語った。 「次に、カテゴリ別アプローチを採用し、プロバイダーが自社のサービスに適用されるリスクに対処できるようにします。」

2. ステークホルダーと交渉の余地のない事項を伝える

多くの組織では、セキュリティ チームは、実質的な変更を導入する余地や時間がほとんどない交渉プロセスの最後にのみ呼び出されます。したがって、調達チームが交渉の開始時に、データ保護に関する基本的かつ交渉の余地のないセキュリティ問題を理解し、少なくとも対処できるようにすることが重要です。

CISO は、IT リーダーやビジネス リーダーと協力して、組織のリスク許容度を考慮する必要もあります。また、SaaS 契約において交渉の余地がない内容を決定する際には、すべての規制要件と業界要件を考慮する必要がある、と Ellery 氏は述べています。 「これらはすべて、サプライヤーの事前資格基準として役立ちます。」

たとえば、すべてのデータを転送中および保存中に暗号化する必要がある、またはすべてのデータを特定の国または地理的地域内に保存する必要がある、といったことが、適切な事前資格基準となる場合があります。こうした基準を事前に含めておくことで、ベンダーはユーザーの期待を明確に把握できるとエラリー氏は言います。

デロイトのサイバーおよびリスク部門のリーダーであるヴィクラム・クンチャラ氏は、一般的に言えば、データの可用性、回復力、機密性に関することは交渉の余地がないと付け加えた。 SaaS プロバイダーと何を計画しているかによって大きく左右される、と彼は言う。関連するデータの重要性に応じてリスクは増大します。したがって、目標は、ベンダーがデータを適切に保護できる体制を整えていることを確認することです。

SOC 2 Type II、ISO 27001、ISO 22301、CSA CCM などの認定は、SaaS ベンダーが遵守している認められたセキュリティのベストプラクティスの比較的信頼性の高い指標です。サプライヤーを選択するときは、サプライヤーがこれらの基準を満たしていることを確認してください。

「SaaS は非常に幅広い分野です。顧客関係管理用の SaaS、人的資本タイプの作業用の SaaS、セキュリティ用の SaaS などがあります」と Kunchala 氏は言います。 「サプライヤーが適切な管理体制を整えていない場合、組織全体が危険にさらされる可能性があります」

3. 追加保護を交渉する

追加のセキュリティ保護を通じてどのような譲歩が可能かを交渉します。いくつかの問題は交渉が容易ではない、あるいは交渉が不可能な場合もあることに留意してください。

SaaS は標準製品に基づいて拡張するビジネスだと Ellery 氏は言います。したがって、システムの可用性やデータの保存場所など、一部の変更は交渉の余地がない場合があります。 「ベンダーはそれぞれ異なり、大幅な譲歩は SaaS ベンダーの譲歩能力と、あなたの影響力、あるいはあなたが求めている譲歩が規制要件に関連があるかどうかによって決まることが多い」と同氏は述べた。契約違反やデータ漏洩を対象とする責任条項は、交渉が最も難しい場合が多いです。したがって、ベンダーのサイバー保険条項などの他のオプションも検討される可能性があります。

SaaS ベンダーが買収された場合に自分を保護する条項を必ず含めるように、と Kunchala 氏はアドバイスしています。別の SaaS プロバイダーがあなたの契約を買収した場合に、現在の契約はどうなるのか、または契約をどのように更新するのかといった質問にお答えください。新しいサプライヤーは既存の価格契約を尊重しますか、それともまったく異なる価格設定になりますか?

また、サプライヤーが製品やサービスを提供できなくなる可能性のある予期しない状況について、どのような可能性があるのか​​を理解する必要もあります。サプライヤーが挙げた不可抗力の事態が妥当なものであることを確認してください。サイバーセキュリティ事件が、あなたが関係ないと思うもののリストに入っているなら、それに抵抗する必要がある、とケネディ氏は述べた。

4. 契約違反を事前に通知することを主張する

欧州連合の一般データ保護規則 (GDPR) やペイメントカード業界 (PCI) 標準などの規制では、組織は契約により第三者が機密データを保護するために適切な措置を講じることを保証することが義務付けられています。これらの規制により、SaaS プロバイダーで対象データに影響を及ぼすセキュリティ インシデントが発生した場合、侵害の通知に特定の要件と時間制限が課される場合があります。

451 Group のケネディ氏は、SaaS プロバイダーと交渉する際には、違反があった場合の速やかな通知を要求する条項を必ず含めるようにすべきだと述べています。 SaaS プロバイダーは特定のタイムラインに縛られることを望まないため、このような条項は交渉において論争の的となる可能性があります。多くの場合、彼らの最大の反対意見は、脆弱性がいつ発見されるかわからないという事実に関係しています。

「それでも、セキュリティ侵害によって顧客データが影響を受けた場合は、直ちに通知を受けるよう主張する必要がある」とケネディ氏は述べた。 「SaaS プロバイダーは、本質的にはサードパーティベンダーであるため、情報をお客様に届ける最善の方法をただ座って決めることはできません。また、この場合、独自のスケジュールで作業することもできません。」

5. 契約終了条件に特に注意する

SaaS 契約書を作成する際に考慮する必要がある最も重要なことの 1 つは、契約終了時に何が起こるかを明確に規定することです。確立された SaaS ベンダーにはデータの返却と削除に関する正式なプロセスがあるかもしれませんが、そのプロセスに何が含まれるかについて明確な合意を得ることが重要です。

考慮する必要がある問題には、契約終了時に組織がデータを取得できるかどうか、ベンダーがデータを削除して第三者がデータにアクセスできないようにするプロセスなどがあります。 「SaaS 契約の第一の優先事項は、契約を解除するかどうかに関わらず、データを回復する権利があることを保証することです」と Ellery 氏は言います。多くの CISO は、SaaS ベンダーから取り込んだデータや、重要なデータをローカルまたはクラウド ストレージにバックアップするサービスを定期的にテストして、その機能があることを確認していると彼は述べています。

組織が重要な業務に SaaS サービスを使用している場合は、移行支援の依頼を検討してください。移行支援条項は、契約終了後も一定期間契約を延長し、安全かつ効率的に別のプロバイダーに移行する時間を与えるものだとエラリー氏は述べた。 「多くの金融サービス組織は、重要なシステムの移行に少なくとも18カ月の支援を求めることになるだろう」と同氏は述べた。サプライヤーは引き続きサービスに対して支払いを受けているため、終了条件と移行条件は通常交渉可能です。

デロイトのクンチャラ氏は、企業はデータ削除やデータ転送の請求に関してベンダーから一定レベルの保証を得るべきだとアドバイスしている。 SaaS プロバイダーのインフラストラクチャ上には、組織のデータ、またはその一部の複数のコピーが存在する可能性があり、プロバイダーにはそれらのコピーを削除する責任があると彼は述べた。

「保険会社は、あなたが持つかもしれない賠償責任条項が執行可能となるよう、一定の保証を提供する必要がある」と彼は語った。ある程度、ベンダーを信頼し、将来的にデータが侵害されないことを祈ることも選択する必要がある、と彼は述べた。

<<:  クラウドコンピューティングは社会の将来にとって重要な要素となるでしょうか?

>>:  クラウドでコストを節約する3つの簡単なステップ

推薦する

alwyzon: 月額 3.32 ユーロ、オランダ VPS、4G メモリ/2 コア/40g SSD/5T トラフィック、カスタムアップロード ISO

alwyzon(Hohl IT eUのブランド)は、オランダ(データセンターはオランダ東部の都市アペ...

徐俊がgame.comを買収、他のゲームドメイン名はすべて廃止

ドメイン名投資WeChat [domaincom] 最新ニュース 2014年4月4日: Jinmin...

あなたはまだ SEO に取り組んでいますか?

SEOER として SEO に従事している人は多く、会社内で小さな役割を担い、最低の給料をもらいなが...

ダブル11当日、速達で2400万個の荷物が集められたが、遅くとも20日まで発送されなかった。

国家郵政局は昨日、「ダブル11」のピーク時の速達注文数は約2400万個で、昨年より41%増加したと発...

私の読書法まとめ 2019

数日前、同僚とグループチャットで読書について話していました。今まで会話に参加できなかった私も、ようや...

グランドビューリサーチ:クラウドコンピューティング市場は2028年に12510.9億ドルに達する

9月8日、市場調査会社グランドビューリサーチの調査によると、世界のクラウドコンピューティング市場規模...

ハイブリッドクラウドは重要なデータの潜在的な漏洩を減らすことができる

ハイブリッド クラウド セキュリティとは、少なくとも 1 つのパブリック クラウドまたはプライベート...

vpsserver - 香港 VPS/直接接続/$4.99/KVM/512m メモリ/250G トラフィック

vpsserver は 2009 年に設立されたアメリカのホスティング会社で、KVM 仮想化と純粋な...

権威ある外部リンクを公開する最新の方法 - A5 Webmaster Network

外部リンクの品質は、検索エンジンにおけるウェブサイトの重みを直接決定します。これは、ウェブサイトの重...

ウェブサイト分析ツールの徹底解説:訪問元統計(パート2)

仮想ツール1. アクセス元の概要訪問者ソースの概要機能はほとんどの Web サイト分析ツールで利用可...

製品のマーケティングにWeiboを使用するのは信頼できるでしょうか?

ショートビデオ、セルフメディア、インフルエンサーのためのワンストップサービス製品マーケティングにWe...

AWS、Alibaba Cloud、DigitalOcean を比較するとどうなりますか?

クラウド コンピューティングの登場により、従来は物理的なコンピューターでのみ提供されていたサーバー、...

raksmart: 安価なサーバー (物理マシン)、期間限定セール、サンノゼ データ センター、100M 帯域幅、無制限のトラフィック

Raksmart Data Center では、米国サンノゼとロサンゼルスのデータセンターにある独立...

tragicservers-半額/$3.5/4コア/1gメモリ/65gハードディスク/2Tトラフィック/アジア最適化

tragicserversさん、私はいつもこの名前はひどいといつでも言っていますが、最近、グループの...

現代の分散ストレージシステムをサポートするアルゴリズム

アプリケーションによって処理されるデータの量が増え続けるにつれて、ストレージの拡張はますます困難にな...