これら10のポイントを知らないなら、SaaSは使わないほうがいい

ますます多くの企業にとって、Software as a Service (SaaS) は重要なビジネス アプリケーションを利用する主な手段となっています。ビジネスの観点から見ると、この戦略は、コスト削減、柔軟性の向上、スケーラビリティの容易化など、潜在的なメリットがあるため理にかなっています。

ただし、クラウドベースの製品にはセキュリティ上のリスクが伴います。企業は、SaaS プロバイダーのセキュリティ規定が自社の基準を満たしているかどうかをどのように判断できるでしょうか?

[[339219]]

「課題は、SaaS ベンダーが自社のインフラストラクチャ、変更管理プログラム、インシデント対応プロセスを保護するために何を行っているかを包括的に理解することです」と、ガートナーの副社長兼アナリストであるパトリック・ヘベシ氏は説明します。

2019 年のガートナーのレポートによると、すべての SaaS プロバイダーがセキュリティ機能について透明性を確保しているわけではありません。報告書では、企業は重要なユーザーデータをクラウドサービスに置くことのリスクを認識する必要があり、またクラウドサービスプロバイダーを信頼する必要があると述べている。

SaaS プロバイダーは、他のすべての企業を悩ませているのと同じマルウェアやハッカーの攻撃の多くに対して脆弱です。これらの脅威は、これらのサービスを利用する企業に影響を及ぼす可能性があります。 SaaS プロバイダーの評価プロセスを次の領域に集中させることで、このリスクを最小限に抑えることができます。

1. SaaSパッチポリシーを確認する

経営幹部が懸念している分野の一つは、セキュリティパッチです。 「SaaSプロバイダーは、マルチテナントで自社が多数の顧客のうちの1社に過ぎない場合など、パッチの提供が遅れることが多い」と、スマートフォンやタブレットなどの製品に保険サービスを提供するアシュリオンのシニアセキュリティマネージャー、バーニー・ピント氏は語る。

2. SaaSと内部セキュリティ管理の一貫性を確認する

通信機器メーカー、シーメンスUSAの最高サイバーセキュリティ責任者であるカート・ジョン氏は、企業がSaaSプロバイダーを評価する際に理解すべき主な概念は、セキュリティ管理責任の移行であると考えています。 SaaS 製品を使用する場合、セキュリティ部門は企業のセキュリティ環境と SaaS プロバイダーのセキュリティ環境間のインターフェースに重点を置く必要があります。 「プロバイダーのセキュリティ機能が組織の情報セキュリティポリシーとどのように一致しているかをしっかりと把握することが重要です」と彼は言います。 「ギャップがあれば、プロセスの早い段階で対処する必要があります。」

ジョンは、制御の一貫性にとって重要な 3 つの領域があると考えています。

（1）アイデンティティとアクセス管理（IAM）

問題としては、既存のエンタープライズ IAM プラットフォームを SaaS プロバイダーの提供と統合できないことなどが挙げられます。認証ポリシーが矛盾しており、ユーザビリティの観点から混乱や技術的な問題が発生する可能性があります。 SaaS プロバイダーがシングル サインオン (SSO) をサポートしていない。

（２）暗号化と鍵管理

ここでの問題には、SaaS プロバイダーが暗号化の制御を維持することを主張し、顧客情報にいつでもアクセスできるようにすること、およびデータが企業のセキュリティ境界外に保存されるため、対応する暗号化管理対策の導入が必要になることが含まれます。

（３）セキュリティ監視

この分野の問題としては、SaaS 環境でのセキュリティ イベント ログ データへのアクセスのサポート不足や、潜在的なセキュリティ リスクに対する透明性の欠如などが挙げられます。 「克服すべき課題の 1 つは、ログが操作されないようにすることです」とジョンは言います。 「望ましい選択肢は、SaaS プロバイダーとの十分なデジタル接続を確立し、企業の既存のセキュリティ運用センターにログ データをリアルタイムで配信することです。これにより、高レベルのビューが得られ、企業はローカルのセキュリティ運用機能をクラウドに拡張できるようになります。」

3. 企業がデータを所有していることを確認する

企業は、プロバイダーが遵守しているプラ​​イバシー ポリシーや利用規約を慎重に確認し、個人情報を共有しないことを確認する必要があります。 「実行可能のように聞こえるが、見落としやすい」とITコンサルティング会社アセント・ソリューションズのサイバーセキュリティ戦略家ケイン・マクグラドリー氏は言う。

McGradrey 氏は、SaaS プロバイダーの契約書に「ユーザーのビジネス データを販売しないこと、またサービスから匿名で集計されたデータを「市場調査」などの目的で販売しないことが明示的に記載されていない場合は、危険信号だと指摘しています。」契約書に記載されていない場合は、プロバイダーがビジネスデータを再販しないことを確認してください。

4. SaaSプロバイダーが関連規制に準拠していることを確認する

マックグラドリー氏は、もうひとつの懸念は、プライバシーポリシーに一般データ保護規則（GDPR）やカリフォルニア州消費者プライバシー法（CCPA）などの特定の規制への準拠に関する記述が含まれていないかどうかだと述べた。 「これらは十分に確立されており、見逃された場合、SaaSプロバイダーが法律や規制の動向に追いついていないことを示している可能性があります」と彼は述べた。

McGladrey 氏は次のように付け加えています。「SaaS ベンダーは、データ主権とオプションのローカリゼーションについて率直に話す必要があります。これは、SaaS ソリューションを選択する多国籍企業にとって特に重要ですが、単一の地理的地域に限定されている企業は、たとえば、米国人の個人情報が自国外のデータ センターで故意に処理され、保存されるといった恥ずかしい状況を避けたいと考えるでしょう。」

5. データがどこに保存されているかを知る

マーケティング技術プロバイダーのEpsilon社のCIO、ロバート・ウォルデン氏は、「セキュリティ、コンプライアンス、プライバシーの観点から、すべてはデータにかかっている」と語った。 「SaaS ソリューションを介してどのような種類のデータが保存および送信されるのか、誰がデータにアクセスできるのか、誰がデータを所有するのか、データはどのように保護されるのか、セキュリティ侵害が発生した場合に誰が責任を負うのかなどを理解することが重要です」と Walden 氏は述べています。

「多くの組織は、SaaS ソリューションにうっかり保存している機密データの種類や、そのデータにアクセスできる人物についてさえ認識していません」と Walden 氏は述べています。 「さらに、SaaS ソリューションの構築中に標準的なクリックスルー契約が実行された場合、そのプロバイダーがデータの所有権を持つことが多いことに組織が気付いていないことがよくあります。」

6. データ損失または破損ポリシーを確認する

ウォルデン氏は、データ保護の観点から、SaaS 契約には災害復旧条項が含まれている可能性があるものの、その条項ではデータの損失や破損はカバーされないことに多くの企業が気づいていないと述べました。

7. SaaS調達におけるセキュリティ

ピント氏は、調達プロセス中は安全・リスク部門のメンバーが常に調達部門と連絡を取るべきだと述べた。 「調達部門はセキュリティ部門と連携し、リスク定量化プロセスに関与させる必要があります。ほとんどの調達部門は、アイデンティティとアクセス管理が専門分野であることをまだ認識していません。」

ジョン氏は、データ セキュリティに関する非技術的な問題が確実に解決されるように、すべての重要な議論に情報セキュリティを組み込む必要があると述べています。 「私たちの業界では、サイバーセキュリティの問題が未解決であれば、プロバイダーは排除されます。」

8. SaaSプロバイダーが使用するサブサービスを特定する

交渉のトピックには、SaaS プロバイダーが使用する可能性のあるエンタープライズ サブサービスが含まれます。 「契約書に署名する前に、この問題に対処することが重要です」とジョンは語った。 「これは、企業が持つ可能性のあるデータ保存場所の要件に影響を及ぼす可能性があります。」

John 氏は、SaaS セキュリティ レポートを評価する際には、「レポートの範囲に契約に含まれる場所とサブサービスが含まれていることを確認することが重要です。そのためには、契約と該当するセキュリティ レポートを相互にチェックし、監査結果の適切な範囲と信頼性を確保する必要があります」と述べています。

交渉では、SaaS プロバイダーのコンプライアンス確保へのアプローチについても考慮する必要があります。 「この質問に取り組む際には、プロバイダーのどの機能がコンプライアンスと、電子情報開示、データプライバシー、インシデント対応レポートなどの関連活動をサポートしているかを理解することが重要です」とジョンは述べています。

9. 無料のSaaSトライアル中に徹底的にテストする

IT 部門とセキュリティ部門は、最大容量やピーク時の使用量など、無料の SaaS トライアル中に機能をテストする必要があります。 「複数の管理者とスーパーユーザーが同時にこのツールを使用し、同じ期間内にパフォーマンスを評価する必要がある」とピント氏は述べた。

また、同時実行およびマルチプロセス アクティビティもテストします。 「計算や情報の移動、レポートの作成などの処理を行っている間、プログラムがどれだけ応答性が高いかをユーザーは知っておく必要がある」とピント氏は言う。

内部テストの一環として、ジョンは次のように述べています。「重要なセキュリティ プロセスを SaaS プロバイダーのソリューションと統合できるかどうかを評価します。これにより、実装後のソリューションが十分に安全であることを確認するために必要な労力とコストの予測を判断できます。」

10. SaaSプロバイダーのサードパーティ監査を確認する

ジョン氏は、セキュリティ管理の適合性と有効性を確認するには、プロバイダーに最新のサードパーティ監査レポートを要求し、侵入テストの結果も含めてそれを確認することが重要だと言います。 「国内または国際認証の証拠を要求することは、企業レベルでの管理の成熟度を判断するのにも役立ちます。」