全2437文字
PR

 「日本企業がSaaS(ソフトウエア・アズ・ア・サービス)をセキュアに使うためには、日本企業固有の問題に向き合う必要がある。欧米企業のベストプラクティスをそのまま持ってきてもうまくいかない」――。

 こう指摘するのは、ガートナージャパンでリサーチ&アドバイザリ部門インフラ&オペレーションズセキュリティ担当ディレクターを務める矢野薫アナリストだ。矢野アナリストは2021年10月7日、同社主催のイベント「セキュリティ&リスク・マネジメント サミット2021」で、企業がSaaSを活用するうえで認識すべきセキュリティー事項について講演した。

 矢野アナリストはSaaSを活用するうえでのセキュリティー対応の難しさについて「オンプレミス環境のセキュリティー対策ではカバーし切れない。これまでの対応の延長線上にはない違いがある」とする。それは大きく以下の3つだ。

 1つ目は、SaaSのセキュリティー対策に必要な要素を満たすルールがない点だ。オンプレミス環境が主体の場合、社内ネットワークの特定の出入り口を制限・監視する「境界型セキュリティー」でシステムやデータを守りやすかった。一方、SaaSは社内ネットワークだけでなく、社外からも様々な端末でアクセスできるため、境界型の考え方だけでは対応できない。

 2つ目は、セキュリティーの設定とレベルにばらつきが出る点だ。オンプレミス環境では認証やアクセス管理、データ保護に一定の基準を設けることで管理を集約できる。一方、SaaSのセキュリティーは「何も対策を講じなければSaaSを導入すればするだけ分散する」(矢野アナリスト)。

 一般に、企業が使うSaaSの製品や提供ベンダーは多岐にわたる。そのため、それぞれの製品やベンダーに対して個別での管理が必要となる。また、SaaSごとに備える機能が異なるため、「A製品ではこのアクセス制御ができるが、B製品ではそれができない」といったように、セキュリティーレベルにも差が出てくる。運用が複雑にならざるを得ないわけだ。

SaaSごとにセキュリティーレベルが分散する
SaaSごとにセキュリティーレベルが分散する
(出所:ガートナージャパン)
[画像のクリックで拡大表示]

 3つ目は、SaaSの評価と採用に手間がかかる点だ。導入企業がセキュリティー項目のチェックリストなどを自作して評価しようとしても、SaaSの数が多くシステム部門で対応し切れなかったり、かといって各事業部門では内容が専門的すぎてチェックが滞ってしまったりと問題が起こっているという。矢野アナリストは「SaaSの本質的なメリットはすぐに使えるところにある。だが、セキュリティーの評価に時間がかかってしまい、メリットを失ってしまっている」と指摘する。