SaaS利用時のセキュリティ強化で再点検すべきポイントやIT資産管理の見直しについて

INDEX

    SaaSの提供元が大手ベンダーですと、セキュリティの不安を感じにくいことがあります。しかし、自社におけるセキュリティが疎かになり、対策を怠ってしまえば、セキュリティリスクが高まってしまうため危険がないとは言えません。
    今回はSaaSを利用する際のセキュリティリスク、SaaS利用時のセキュリティ強化で再点検すべきポイント、そしてSaaSを利用する際のIT資産管理の見直しについてについてお話します。


    SaaSを利用する際のセキュリティリスク

    はじめにSaaSを利用する際のセキュリティリスクについて解説します。

    SaaSを提供するベンダーのシステム、サーバーへのサイバー攻撃

    SaaSは必要とする機能をオンラインで利用できる仕組みです。そのため、機能を提供するためのシステム・サーバーがサイバー攻撃を受けてしまうことで、間接的なセキュリティリスクが発生します。情報漏えいやデータ改ざんといったセキュリティインシデントが発生すれば、無関係ではいられないということです。
    また、SaaSによっては業務上に必要なデータを預けることもあります。個人情報を含むファイルをアップロードした状態でセキュリティインシデントが発生すれば、自社の情報だけでなく、顧客やユーザーの情報も危険に晒されてしまいます。

    SaaS以外の社内や組織内のデバイス、システムへのサイバー攻撃

    SaaS自体は安全でも、利用する側、すなわち社内や組織内のデバイス、システムへのサイバー攻撃を受けてしまえば、結果的にSaaSにあるデータにアクセスできてしまいます。デバイスの乗っ取りやID・パスワードを奪取されれば、SaaSの安全性も損なわれるということです。
    また、SaaSの提供元がGoogleやMicrosoftなど大手で信頼できるベンダーの場合、セキュリティは大丈夫だと過信してしまうことで、結果的にSaaSは安全でも自社のセキュリティが疎かになるというリスクもあります。同様に利用する従業員のセキュリティリテラシーが低い場合も危険です。IDとパスワードを盗み見られたり、フィッシングサイトやフィッシングメールに騙されたりすれば、セキュリティインシデントの引き金になってしまうでしょう。

    SaaSが何らかの理由で停止した時の業務への影響

    SaaSが何らかの理由で停止した時の業務への影響も、ある意味セキュリティリスクと言えます。例えばGithubで作業を行っている場合、GitHubに障害が発生してしまうと業務が停止してしまうおそれがあります。同じくGmailやGoogleドライブに障害が発生すれば、業務に必要な機能を利用できず、業務が停滞してしまい、顧客に迷惑を掛けてしまうこともあるでしょう。
    SaaSは安全性と利便性が高いことから、依存しすぎてしまうと危険があるということです。その際、クラウドではなくオンプレミスにすれば大丈夫だろうと考えるかもしれませんが、大手ベンダーのセキュリティと同等の安全性を維持するためのコストを考えると、どちらを選ぶべきか非常に難しい選択であるのも確かです。もし、コストパフォーマンス的にもSaaSの利用を継続するのであれば、SaaS利用時のセキュリティを再点検するとともに、IT資産管理の見直しをしておくことをおすすめします。


    SaaS利用時のセキュリティ強化で再点検すべきポイント

    次にSaaS利用時のセキュリティ強化で再点検すべきポイントをご紹介します。

    SaaSに多要素認証および二段階認証の仕組みがあるかどうか

    SaaSの利用時、主にログインするタイミングで多要素認証および二段階認証の仕組みがあるかチェックしましょう。メールやアプリで確認したり、セキュリティキーを利用したりする仕組みがあれば、サイバー攻撃によるリスクを大幅に軽減できます。さらに安全性を噛めるためにも、自動的にログインできる状態にしない、常にログインしている状態にしないことも徹底すると良いでしょう。
    同様に自動的にログインしてしまうような状況は非常に危険ですので避けるべきです。デバイスの起動時にも多要素認証および二段階認証があるのかチェックしましょう。セキュリティキーや指紋認証、顔認証を導入しておけば、誰がどのデバイスを利用しているのか明確にできるのでおすすめです。

    SaaSにアクセスするデバイスやネットワークのセキュリティが保たれているか

    SaaSにアクセスするデバイスに物理的な脆弱性がないか、OSやソフトウェア、システムが最新かつ安全な状態かもチェックすべきです。同様にネットワークのセキュリティが保たれているかも見ておき、必要に応じてVPNを利用するなど多重のセキュリティを行っておくと安心です。
    また、WebフィルタリングやIPアドレス制限、ウイルス対策ソフトなど、エンドポイントセキュリティも含めて、多角的にセキュリティ対策がなされているかも見ておくべきです。サイバー攻撃がひとつではなく、さまざまな手法を組み合わせて行われ、さまざまな経路から侵入、攻撃してくるというイメージを持つと良いでしょう。

    SaaSにアクセスする従業員のセキュリティリテラシーが不足していないか

    SaaSへのログインが安全、デバイスもネットワークも安全、しかし、利用する従業員のセキュリティリテラシーが不足していると、結果的にセキュリティインシデントを引き起こす可能性はゼロになりません。セキュリティに関する教育を行うこと、情報システム部やセキュリティ担当を配置するなど、人材面のセキュリティも強化しておくべきということです。
    また、社内規則や作業ルールを再確認しつつ、人為的なセキュリティホールが存在しないかもチェックしておくと良いでしょう。例えば、私物のデバイスを社内ネットワークに接続しない、同様にUSBメモリや個人的なクラウドストレージにファイルを持ち出さないなど、基本的な部分を徹底することも忘れないようにしてください。

    bench-accounting-C3V88BOoRoM-unsplash.jpg

    SaaSを利用する際のIT資産管理の見直しについて

    次にSaaSを利用する際のIT資産管理の見直しについて解説します。

    SaaSと自社のセキュリティを切り分けて考える

    SaaSの安全性や信頼性に頼ったり、依存したりせず、自社のセキュリティをしっかりと構築するという意識を持ちましょう。デバイス、ネットワーク、利用者など、IT資産に関連する要素のセキュリティを高めるべきといことです。
    自社のセキュリティを安全な状態にすること、その上でSaaSを利用すれば、セキュリティ的な抜け穴が存在しにくくなります。絶対に安全なセキュリティは存在しないからこそ、考えられるセキュリティ対策はしっかりと講じておくと良いでしょう。

    物理的なデバイス、システム的にはOSやソフトの一元管理を行う

    デバイスやシステムのセキュリティ性を確保・維持するためにIT資産管理の仕組みを導入しましょう。一元的な管理が行えるようになれば、人為的なセキュリティホールやチェック漏れによる脆弱性などを一掃できます。
    OSやソフトウェアのアップデートの管理、内部不正対策、不正接続対策、PC操作ログの監視など、多角的かつ多重に監視や管理できる仕組みを導入しておくことで、自社のセキュリティが強固になります。

    SaaSが利用できなくても業務が遂行できる仕組みを構築する

    SaaSを利用する際のIT資産管理を導入するとともに、情報資産管理も導入することをおすすめします。情報資産管理とは情報、すなわちデータやファイルを安全に管理する仕組みであり、セキュリティを高めるために必須の要素です。
    例えば、デバイスやOS、ネットワークが安全だっても、ファイルの取扱いが雑であれば安全な状態とは言えません。ファイルを安全に取り扱うこと、そしてしっかりとバックアップを取ることで、SaaSが利用できなくても業務を行える可能性が高まります。同様にメールやチャットなど、連絡手段が途絶えないようにいくつか用意しておくこともおすすめします。


    まとめ:ベンダーが信頼できることと自社のセキュリティ体制は別!

    今回はSaaSを利用する際のセキュリティリスク、SaaS利用時のセキュリティ強化で再点検すべきポイント、そしてSaaSを利用する際のIT資産管理の見直しについてについてお話しました。
    利用しているSaaSを提供するベンダーが信頼できるとしても、サイバー攻撃による被害を受ける可能性はあります。自社のセキュリティ体制とは切り分けて考えることで、SaaSを安心・安全に利用できることを覚えておいてください。
    当社の提供するIT資産管理ツール・情報資産管理ソフト「AssetView」シリーズを組み合わせることで、SaaSを安心、安全に利用できます。自社のセキュリティに関する不安の解消につながりますので、ぜひともこの機会にご相談、お問い合わせください。

    お役立ち資料

    • お役立ち資料

      Windows10更新管理の教科書

      資料ダウンロード
    • 市場調査レポート

      小売業のモバイル端末「紛失対策」実態調査
      多店舗展開している小売業、半数以上が「スマホ・タブレットの管理」に不安あり

      資料ダウンロード
    • 製品概要

      すぐわかる!AssetView

      資料ダウンロード

    人気ランキング


    開催イベント

    • 情シスが経営層を説得するために押さえておきたい3つのポイントを解説!

      アーカイブ配信

      常時開催

      情シスが経営層を説得するために押さえておきたい3つのポイントを解説!

    • 社内からの漏洩事件多発!AssetViewだから出来る『重要情報』の漏洩対策とは?

      アーカイブ配信

      常時開催

      社内からの漏洩事件多発!AssetViewだから出来る『重要情報』の漏洩対策とは?

    • 情シス担当に調査!SaaS管理をとりまく実態とは?

      アーカイブ配信

      常時開催

      情シス担当に調査!SaaS管理をとりまく実態とは?

    • 金融分野における個人情報保護に関するガイドライン解説セミナー

      アーカイブ配信

      常時開催

      金融分野における個人情報保護に関するガイドライン解説セミナー

    • 「自動車産業サイバーセキュリティガイドライン」の解説から対策まで

      アーカイブ配信

      常時開催

      「自動車産業サイバーセキュリティガイドライン」の解説から対策まで

    • PCログのレポート作成業務を支援!~「Splunk」「ALog」とのスムーズな連携を実現~

      アーカイブ配信

      常時開催

      PCログのレポート作成業務を支援!~「Splunk」「ALog」とのスムーズな連携を実現~

    • 30分で完全理解!~ランサムウェアの感染防止・感染後の対応・復旧までのケーススタディセミナー~

      アーカイブ配信

      常時開催

      30分で完全理解!~ランサムウェアの感染防止・感染後の対応・復旧までのケーススタディセミナー~

    • 最新事例に学ぶ!情報漏洩を未然に防ぐ「USBメモリー管理」とは?

      アーカイブ配信

      常時開催

      最新事例に学ぶ!情報漏洩を未然に防ぐ「USBメモリー管理」とは?

    • 『内部不正』が起きる要因と対策が分かるセミナー

      アーカイブ配信

      常時開催

      『内部不正』が起きる要因と対策が分かるセミナー

    • 『IT資産管理の費用対効果』が説明できるようになるセミナー

      アーカイブ配信

      常時開催

      『IT資産管理の費用対効果』が説明できるようになるセミナー

    ハンモックのプロダクト

    • AssetsView Cloud
      IT統合管理ソフトウェア(クラウド)
      VPN不要で、働き方に問わず
      様々な環境下にある端末を一元管理
    • ホットプロファイル
      名刺管理、営業支援ツール
      名刺管理とマーケティング機能が一体化した
      SFA・営業支援ツールの決定版
    • WOZE
      クラウド型データエントリーサービス
      業界最安値で正確かつ迅速に、あらゆる書類をデータ化
    • AssetsView
      IT統合管理ソフトウェア(オンプレミス)
      PCの資産管理や情報漏洩対策を強化する、
      機能が選べるIT統合管理ソフトウェア
    • ホットアプローチ
      フォーム営業ツール
      法人の新規開拓営業に必要な営業先リストと
      自動営業方法をセットにした営業支援サービス
    • AnyForm OCR
      書式を問わないOCRソフト
      これまで実現できなかった、帳票レイアウトが
      非定型な活字帳票に対応できるOCRソフト

    資料一覧はこちら