SaaS利用時のセキュリティ強化で再点検すべきポイントやIT資産管理の見直しについて
- INDEX
-
SaaSの提供元が大手ベンダーですと、セキュリティの不安を感じにくいことがあります。しかし、自社におけるセキュリティが疎かになり、対策を怠ってしまえば、セキュリティリスクが高まってしまうため危険がないとは言えません。
今回はSaaSを利用する際のセキュリティリスク、SaaS利用時のセキュリティ強化で再点検すべきポイント、そしてSaaSを利用する際のIT資産管理の見直しについてについてお話します。
SaaSを利用する際のセキュリティリスク
はじめにSaaSを利用する際のセキュリティリスクについて解説します。
SaaSを提供するベンダーのシステム、サーバーへのサイバー攻撃
SaaSは必要とする機能をオンラインで利用できる仕組みです。そのため、機能を提供するためのシステム・サーバーがサイバー攻撃を受けてしまうことで、間接的なセキュリティリスクが発生します。情報漏えいやデータ改ざんといったセキュリティインシデントが発生すれば、無関係ではいられないということです。
また、SaaSによっては業務上に必要なデータを預けることもあります。個人情報を含むファイルをアップロードした状態でセキュリティインシデントが発生すれば、自社の情報だけでなく、顧客やユーザーの情報も危険に晒されてしまいます。
SaaS以外の社内や組織内のデバイス、システムへのサイバー攻撃
SaaS自体は安全でも、利用する側、すなわち社内や組織内のデバイス、システムへのサイバー攻撃を受けてしまえば、結果的にSaaSにあるデータにアクセスできてしまいます。デバイスの乗っ取りやID・パスワードを奪取されれば、SaaSの安全性も損なわれるということです。
また、SaaSの提供元がGoogleやMicrosoftなど大手で信頼できるベンダーの場合、セキュリティは大丈夫だと過信してしまうことで、結果的にSaaSは安全でも自社のセキュリティが疎かになるというリスクもあります。同様に利用する従業員のセキュリティリテラシーが低い場合も危険です。IDとパスワードを盗み見られたり、フィッシングサイトやフィッシングメールに騙されたりすれば、セキュリティインシデントの引き金になってしまうでしょう。
SaaSが何らかの理由で停止した時の業務への影響
SaaSが何らかの理由で停止した時の業務への影響も、ある意味セキュリティリスクと言えます。例えばGithubで作業を行っている場合、GitHubに障害が発生してしまうと業務が停止してしまうおそれがあります。同じくGmailやGoogleドライブに障害が発生すれば、業務に必要な機能を利用できず、業務が停滞してしまい、顧客に迷惑を掛けてしまうこともあるでしょう。
SaaSは安全性と利便性が高いことから、依存しすぎてしまうと危険があるということです。その際、クラウドではなくオンプレミスにすれば大丈夫だろうと考えるかもしれませんが、大手ベンダーのセキュリティと同等の安全性を維持するためのコストを考えると、どちらを選ぶべきか非常に難しい選択であるのも確かです。もし、コストパフォーマンス的にもSaaSの利用を継続するのであれば、SaaS利用時のセキュリティを再点検するとともに、IT資産管理の見直しをしておくことをおすすめします。
SaaS利用時のセキュリティ強化で再点検すべきポイント
次にSaaS利用時のセキュリティ強化で再点検すべきポイントをご紹介します。
SaaSに多要素認証および二段階認証の仕組みがあるかどうか
SaaSの利用時、主にログインするタイミングで多要素認証および二段階認証の仕組みがあるかチェックしましょう。メールやアプリで確認したり、セキュリティキーを利用したりする仕組みがあれば、サイバー攻撃によるリスクを大幅に軽減できます。さらに安全性を噛めるためにも、自動的にログインできる状態にしない、常にログインしている状態にしないことも徹底すると良いでしょう。
同様に自動的にログインしてしまうような状況は非常に危険ですので避けるべきです。デバイスの起動時にも多要素認証および二段階認証があるのかチェックしましょう。セキュリティキーや指紋認証、顔認証を導入しておけば、誰がどのデバイスを利用しているのか明確にできるのでおすすめです。
SaaSにアクセスするデバイスやネットワークのセキュリティが保たれているか
SaaSにアクセスするデバイスに物理的な脆弱性がないか、OSやソフトウェア、システムが最新かつ安全な状態かもチェックすべきです。同様にネットワークのセキュリティが保たれているかも見ておき、必要に応じてVPNを利用するなど多重のセキュリティを行っておくと安心です。
また、WebフィルタリングやIPアドレス制限、ウイルス対策ソフトなど、エンドポイントセキュリティも含めて、多角的にセキュリティ対策がなされているかも見ておくべきです。サイバー攻撃がひとつではなく、さまざまな手法を組み合わせて行われ、さまざまな経路から侵入、攻撃してくるというイメージを持つと良いでしょう。
SaaSにアクセスする従業員のセキュリティリテラシーが不足していないか
SaaSへのログインが安全、デバイスもネットワークも安全、しかし、利用する従業員のセキュリティリテラシーが不足していると、結果的にセキュリティインシデントを引き起こす可能性はゼロになりません。セキュリティに関する教育を行うこと、情報システム部やセキュリティ担当を配置するなど、人材面のセキュリティも強化しておくべきということです。
また、社内規則や作業ルールを再確認しつつ、人為的なセキュリティホールが存在しないかもチェックしておくと良いでしょう。例えば、私物のデバイスを社内ネットワークに接続しない、同様にUSBメモリや個人的なクラウドストレージにファイルを持ち出さないなど、基本的な部分を徹底することも忘れないようにしてください。
SaaSを利用する際のIT資産管理の見直しについて
次にSaaSを利用する際のIT資産管理の見直しについて解説します。
SaaSと自社のセキュリティを切り分けて考える
SaaSの安全性や信頼性に頼ったり、依存したりせず、自社のセキュリティをしっかりと構築するという意識を持ちましょう。デバイス、ネットワーク、利用者など、IT資産に関連する要素のセキュリティを高めるべきといことです。
自社のセキュリティを安全な状態にすること、その上でSaaSを利用すれば、セキュリティ的な抜け穴が存在しにくくなります。絶対に安全なセキュリティは存在しないからこそ、考えられるセキュリティ対策はしっかりと講じておくと良いでしょう。
物理的なデバイス、システム的にはOSやソフトの一元管理を行う
デバイスやシステムのセキュリティ性を確保・維持するためにIT資産管理の仕組みを導入しましょう。一元的な管理が行えるようになれば、人為的なセキュリティホールやチェック漏れによる脆弱性などを一掃できます。
OSやソフトウェアのアップデートの管理、内部不正対策、不正接続対策、PC操作ログの監視など、多角的かつ多重に監視や管理できる仕組みを導入しておくことで、自社のセキュリティが強固になります。
SaaSが利用できなくても業務が遂行できる仕組みを構築する
SaaSを利用する際のIT資産管理を導入するとともに、情報資産管理も導入することをおすすめします。情報資産管理とは情報、すなわちデータやファイルを安全に管理する仕組みであり、セキュリティを高めるために必須の要素です。
例えば、デバイスやOS、ネットワークが安全だっても、ファイルの取扱いが雑であれば安全な状態とは言えません。ファイルを安全に取り扱うこと、そしてしっかりとバックアップを取ることで、SaaSが利用できなくても業務を行える可能性が高まります。同様にメールやチャットなど、連絡手段が途絶えないようにいくつか用意しておくこともおすすめします。
まとめ:ベンダーが信頼できることと自社のセキュリティ体制は別!
今回はSaaSを利用する際のセキュリティリスク、SaaS利用時のセキュリティ強化で再点検すべきポイント、そしてSaaSを利用する際のIT資産管理の見直しについてについてお話しました。利用しているSaaSを提供するベンダーが信頼できるとしても、サイバー攻撃による被害を受ける可能性はあります。自社のセキュリティ体制とは切り分けて考えることで、SaaSを安心・安全に利用できることを覚えておいてください。
当社の提供するIT資産管理ツール・情報資産管理ソフト「AssetView」シリーズを組み合わせることで、SaaSを安心、安全に利用できます。自社のセキュリティに関する不安の解消につながりますので、ぜひともこの機会にご相談、お問い合わせください。