リスクとセキュリティに関する SaaS 契約交渉のベスト プラクティス 5 つ

COVID-19パンデミックによりリモートワークへの大規模な移行が進んだため、今年はSaaS製品の導入も加速しました。この傾向により、企業が直面するサイバー脅威が増加し、SaaS 契約の交渉時に組織が考慮する必要があるセキュリティとリスク要因への注目が高まっています。

ガートナーは、パブリッククラウドサービス市場全体が今年は昨年の2,427億ドルから2,579億ドルへと6.3%成長すると予測している。 SaaS セクター自体も、パンデミック中に新しいコラボレーション ツールの需要が高まったことなどから、昨年の 1,020 億ドルから 1,046 億ドルに達すると予想されています。

[[351608]]

SaaS サービスの採用が増えるにつれて、潜在的なセキュリティ問題に対する懸念も高まります。 AppOmni が最近 200 人の IT プロフェッショナルを対象に実施した調査では、回答者の 66% が、エンタープライズ SaaS 環境がビジネス中断のリスクを最も高めていると考えている一方で、SaaS アプリケーションを保護するための時間もあまりないと答えています。

「セキュリティの観点から、議論のほとんどはデータ保護と、可用性やデータが危険にさらされるインシデントが発生した場合に何が起こるかに関するものだ」と451グループのアナリスト、ダニエル・ケネディ氏は語った。

Kennedy 氏らは、SaaS 契約を交渉する際には、リスクとセキュリティの要素が適切に対処されるように、次の 5 つの重要な考慮事項を念頭に置くことが重要であると考えています。

1. 組織に関連するリスクのリストを作成する

SaaS 契約でセキュリティ条件を交渉する場合、万能のアプローチはありません。何をする必要があるか（そして何ができるか）は、現在の状況によって大きく異なります。組織の規模と SaaS プロバイダーの規模が重要です。一般的に言えば、規模が大きくなればなるほど、また計画しているサービス購入が大きくなればなるほど、レバレッジは大きくなります。

SaaS プロバイダーと交渉する前に、RFP フェーズであっても、システムの目的の使用を検討する必要があります。たとえば、SaaS システムを使用して組織の顧客関係を管理することを計画している場合、SaaS ベンダーが顧客データをどのように保護し、システムの安定性と信頼性をどのように確保するかに重点を置く必要があると、ガートナーのシニア リサーチ ディレクターであるルーク エラリー氏は述べています。一方、使用を計画している SaaS システムが学習管理システムなど、より社内向けである場合、データの機密性は低く、サービスがビジネス上重要になる可能性は低くなる、と彼は述べた。

「ベストプラクティスは、セキュリティ、プライバシー、地理、規制、事業継続、災害復旧などの主要なリスクのリストを作成することです」とエラリー氏は語った。 「次に、カテゴリ別アプローチを採用し、プロバイダーが自社のサービスに適用されるリスクに対処できるようにします。」

2. ステークホルダーと交渉の余地のない事項を伝える

多くの組織では、セキュリティ チームは、実質的な変更を導入する余地や時間がほとんどない交渉プロセスの最後にのみ呼び出されます。したがって、調達チームが交渉の開始時に、データ保護に関する基本的かつ交渉の余地のないセキュリティ問題を理解し、少なくとも対処できるようにすることが重要です。

CISO は、IT リーダーやビジネス リーダーと協力して、組織のリスク許容度を考慮する必要もあります。また、SaaS 契約において交渉の余地がない内容を決定する際には、すべての規制要件と業界要件を考慮する必要がある、と Ellery 氏は述べています。 「これらはすべて、サプライヤーの事前資格基準として役立ちます。」

たとえば、すべてのデータを転送中および保存中に暗号化する必要がある、またはすべてのデータを特定の国または地理的地域内に保存する必要がある、といったことが、適切な事前資格基準となる場合があります。こうした基準を事前に含めておくことで、ベンダーはユーザーの期待を明確に把握できるとエラリー氏は言います。

デロイトのサイバーおよびリスク部門のリーダーであるヴィクラム・クンチャラ氏は、一般的に言えば、データの可用性、回復力、機密性に関することは交渉の余地がないと付け加えた。 SaaS プロバイダーと何を計画しているかによって大きく左右される、と彼は言う。関連するデータの重要性に応じてリスクは増大します。したがって、目標は、ベンダーがデータを適切に保護できる体制を整えていることを確認することです。

SOC 2 Type II、ISO 27001、ISO 22301、CSA CCM などの認定は、SaaS ベンダーが遵守している認められたセキュリティのベストプラクティスの比較的信頼性の高い指標です。サプライヤーを選択するときは、サプライヤーがこれらの基準を満たしていることを確認してください。

「SaaS は非常に幅広い分野です。顧客関係管理用の SaaS、人的資本タイプの作業用の SaaS、セキュリティ用の SaaS などがあります」と Kunchala 氏は言います。 「サプライヤーが適切な管理体制を整えていない場合、組織全体が危険にさらされる可能性があります」

3. 追加保護を交渉する

追加のセキュリティ保護を通じてどのような譲歩が可能かを交渉します。いくつかの問題は交渉が容易ではない、あるいは交渉が不可能な場合もあることに留意してください。

SaaS は標準製品に基づいて拡張するビジネスだと Ellery 氏は言います。したがって、システムの可用性やデータの保存場所など、一部の変更は交渉の余地がない場合があります。 「ベンダーはそれぞれ異なり、大幅な譲歩は SaaS ベンダーの譲歩能力と、あなたの影響力、あるいはあなたが求めている譲歩が規制要件に関連があるかどうかによって決まることが多い」と同氏は述べた。契約違反やデータ漏洩を対象とする責任条項は、交渉が最も難しい場合が多いです。したがって、ベンダーのサイバー保険条項などの他のオプションも検討される可能性があります。

SaaS ベンダーが買収された場合に自分を保護する条項を必ず含めるように、と Kunchala 氏はアドバイスしています。別の SaaS プロバイダーがあなたの契約を買収した場合に、現在の契約はどうなるのか、または契約をどのように更新するのかといった質問にお答えください。新しいサプライヤーは既存の価格契約を尊重しますか、それともまったく異なる価格設定になりますか?

また、サプライヤーが製品やサービスを提供できなくなる可能性のある予期しない状況について、どのような可能性があるのか​​を理解する必要もあります。サプライヤーが挙げた不可抗力の事態が妥当なものであることを確認してください。サイバーセキュリティ事件が、あなたが関係ないと思うもののリストに入っているなら、それに抵抗する必要がある、とケネディ氏は述べた。

4. 契約違反を事前に通知することを主張する

欧州連合の一般データ保護規則 (GDPR) やペイメントカード業界 (PCI) 標準などの規制では、組織は契約により第三者が機密データを保護するために適切な措置を講じることを保証することが義務付けられています。これらの規制により、SaaS プロバイダーで対象データに影響を及ぼすセキュリティ インシデントが発生した場合、侵害の通知に特定の要件と時間制限が課される場合があります。

451 Group のケネディ氏は、SaaS プロバイダーと交渉する際には、違反があった場合の速やかな通知を要求する条項を必ず含めるようにすべきだと述べています。 SaaS プロバイダーは特定のタイムラインに縛られることを望まないため、このような条項は交渉において論争の的となる可能性があります。多くの場合、彼らの最大の反対意見は、脆弱性がいつ発見されるかわからないという事実に関係しています。

「それでも、セキュリティ侵害によって顧客データが影響を受けた場合は、直ちに通知を受けるよう主張する必要がある」とケネディ氏は述べた。 「SaaS プロバイダーは、本質的にはサードパーティベンダーであるため、情報をお客様に届ける最善の方法をただ座って決めることはできません。また、この場合、独自のスケジュールで作業することもできません。」

5. 契約終了条件に特に注意する

SaaS 契約書を作成する際に考慮する必要がある最も重要なことの 1 つは、契約終了時に何が起こるかを明確に規定することです。確立された SaaS ベンダーにはデータの返却と削除に関する正式なプロセスがあるかもしれませんが、そのプロセスに何が含まれるかについて明確な合意を得ることが重要です。

考慮する必要がある問題には、契約終了時に組織がデータを取得できるかどうか、ベンダーがデータを削除して第三者がデータにアクセスできないようにするプロセスなどがあります。 「SaaS 契約の第一の優先事項は、契約を解除するかどうかに関わらず、データを回復する権利があることを保証することです」と Ellery 氏は言います。多くの CISO は、SaaS ベンダーから取り込んだデータや、重要なデータをローカルまたはクラウド ストレージにバックアップするサービスを定期的にテストして、その機能があることを確認していると彼は述べています。

組織が重要な業務に SaaS サービスを使用している場合は、移行支援の依頼を検討してください。移行支援条項は、契約終了後も一定期間契約を延長し、安全かつ効率的に別のプロバイダーに移行する時間を与えるものだとエラリー氏は述べた。 「多くの金融サービス組織は、重要なシステムの移行に少なくとも18カ月の支援を求めることになるだろう」と同氏は述べた。サプライヤーは引き続きサービスに対して支払いを受けているため、終了条件と移行条件は通常交渉可能です。

デロイトのクンチャラ氏は、企業はデータ削除やデータ転送の請求に関してベンダーから一定レベルの保証を得るべきだとアドバイスしている。 SaaS プロバイダーのインフラストラクチャ上には、組織のデータ、またはその一部の複数のコピーが存在する可能性があり、プロバイダーにはそれらのコピーを削除する責任があると彼は述べた。

「保険会社は、あなたが持つかもしれない賠償責任条項が執行可能となるよう、一定の保証を提供する必要がある」と彼は語った。ある程度、ベンダーを信頼し、将来的にデータが侵害されないことを祈ることも選択する必要がある、と彼は述べた。