1. HOME
  2. HOME
  3. コラム
  4. SaaSのセキュリティの課題は?社内で行うべきセキュリティ

SaaSのセキュリティの課題は?社内で行うべきセキュリティについてのトップイメージ

近年、ソフトウェアをインターネット経由で利用するクラウドサービス、「SaaS」が普及しています。便利である反面、クラウドサービスにはセキュリティ面での信頼が求められます。情報システム管理者からすれば、セキュリティ対策が脆弱なサービスは使いにくいでしょう。SaaSの場合、セキュリティ対策はベンダー側の担う部分が大きいですが、ユーザー側の対策も欠かせないものです。
そこで今回は、SaaSに関するセキュリティ上の課題についてご紹介します。

SaaSのセキュリティの課題は?

必要なアプリケーションを、インターネットを通じて提供されるSaaS。ユーザー側はハードウェアやネットワーク、運用・保守などを意識することなくアプリケーションだけを利用することができます。したがってセキュリティ対策に関しては、ベンダー側の責任範囲が広く、ユーザー側はSaaSの基礎部分や個別のアプリケーションの設定を基本的に管理できません。つまり、ユーザーは情報セキュリティに関する専門知識や保守などの作業をせずにSaaSを利用することができるのです。
以前はクラウドサービスに関して、「情報漏えいなどのセキュリティが不安」というイメージが先行していました。しかし現在は、クラウドサービスの普及によりユーザーの理解が深まったこと、またベンダー側がセキュリティ対策に注力していることで、クラウドのセキュリティに対するマイナスイメージがなくなってきたといえるでしょう。

サービス側、ユーザー側それぞれのセキュリティ対策

イメージ2

SaaSのセキュリティ対策の責任範囲は、サービス側・ユーザー側で下記のように分けられています。

1 サービス側が担うセキュリティ

ハードウェア、ネットワーク、OSやミドルウェア、運用・保守についてはサービス側が担うことになります。ベンダー側が行うセキュリティ対策としては、以下が挙げられます。

・サーバなどサービス側のOS、アプリケーションにおける脆弱性の判定と対策
・不正アクセスの防止
・アクセスログの管理
・通信の暗号化
・データのバックアップ
・ハードウェア機器の障害対策
・災害や不審者侵入などに対するデータセンターの物理的な対策
など

2 ユーザー側で行うべきセキュリティ

一方ユーザー側が行うべきセキュリティ対策は、SaaSを利用する端末と人に関することです。PCやタブレットなどの端末にセキュリティソフトを入れる、といった対策を施すのはクラウドサービスの利用有無に限らず必要になります。
中でもクラウドサービス利用にあたっては、以下の事項が管理工数の面でも特に重要です。

・ID/パスワード(アカウント情報)の管理
・誰がどのサービスを利用できるかのアクセス制御

SaaS利用でユーザー側が行うセキュリティ対策の課題

情報の機密性を保ちつつ、管理を簡易にしてビジネススピードを維持するためには、IDを統合管理してセキュリティレベルを高く保つことが必要です。

1 ID・パスワード(アカウント情報)の管理

SaaSはクラウドサービスを含む複数のアプリケーションを利用することになるため、それぞれにIDとパスワードを従業員分設定するとなると管理が煩雑になりがちです。
セキュリティレベルを上げるために、パスワードは桁数、文字種類などを増やし解読しにくい文字列にするなど、ルールを従業員に徹底させる施策も行う必要があります。

2 アクセス制御

SaaSにどこからでも自由にアクセスするためには、まず「誰が」「どこから」「何を」できるかの権限を適切に設定する必要があります。ID・パスワードが盗まれた際のリスクに備えるために、多段階認証も導入したいところです。

ID管理の効率化とセキュリティ向上を実現するシングルサインオンサービス「NUROクラウド OneLogin」

イメージ2

「NUROクラウド OneLogin」には、ID管理の効率化とセキュリティ向上の両方を実現するための下記のような機能があります。

1 マルチデバイスに対応したシングルサインオン

一度のログイン認証で、複数のサービスやアプリケーションへのアクセスが可能です。対応しているクラウドサービスやアプリケーションは5000以上。ID・パスワードを一元管理するとともに、セキュリティポリシーの統一を図ることができます。
PCやモバイルなど利用するデバイスを選ばない上に、ID管理機能によってクラウドサービス、ユーザーごとの適切な認証レベルを簡単に設定可能。

2 多要素認証

1度だけ使えるパスワードをランダムに生成する「ワンタイムパスワード機能」や、証明書認証を導入したブラウザのみ使用できる「ブラウザ認証機能」を組み合わせ、多要素認証とすることも可能。
「社外からのアクセスはワンタイムパスワード機能を必須とする」「経営者のみアクセスできる」などのアクセス制御ができます。

3 アカウント追加・削除を自動化する「ユーザープロビジョニング機能」

OneLoginは、アカウント情報を連携するアプリケーションに自動的に反映させる「ユーザープロビジョニング機能」を備えています。これにより、工数が増えがちな「アカウント追加・変更・削除」に対し、効率化を図ることが可能です。

おわりに

今回は、企業内ネットワークの接続効率化に役立つ「SD-WAN」についてご紹介しました。 新たな技術を使ってネットワークを構築する際には、運用実績が豊富な技術者が必要です。クラウド導入を見据えてネットワーク環境の刷新を目指している方は、導入前・導入後のサポートも充実しているSD-WANサービスをぜひご検討してはいかがでしょうか。

今回は、メールサービスやグループウェアなどのソフトをクラウド経由で利用するサービス「SaaS」のセキュリティ対策について、ご紹介しました。
SaaSにおけるユーザー側のセキュリティ対策は、煩雑な作業の「人的ミス」に対する、技術面からのフォローといえます。アプリケーションと従業員の数だけ増えるアカウントを管理しきれない場合は、シングルサインオンサービスを利用して、管理工数削減とセキュリティ向上を図っていきましょう。

詳細情報をご希望の方は下記フォームより資料をダウンロードください。

NUROクラウド OneLogin パンフレット