Home / 基幹プロセス / SaaS のセキュリティリスクとは？ユーザーが行うべき対策を紹介

SaaS のセキュリティリスクとは？ユーザーが行うべき対策を紹介

2023.03.01

執筆者

Magic Moment Marketing manager

国際基督教大学教養学部アーツ・サイエンス学科卒。2019年4月にMagic Moment にインターンとして参画以来、一貫してマーケティングに従事し、BtoB マーケティングの集客・Demand Generation に強みを持つ。2022年4月に正社員としてMagic Moment に参画。
X アカウント：@momo_btobmktg

要約SUMMARY

SaaS のセキュリティとは、SaaS に記録されている情報資産・顧客情報の安全性を確保すること
SaaS を利用すれば、専門知識や技術がなくても高いセキュリティのソフトウェアを利用できる
SaaS にもセキュリティリスクはあり、プロバイダ・ユーザーともに高いセキュリティ意識を持つことが大事
プロバイダはデータ監視・暗号化・顧客の教育などによりセキュリティを高めるべき
ユーザーはセキュリティチェックリストを作り、セキュリティの高いプロバイダのサービスを利用しよう

近年、SaaS は多くの企業にとって魅力的なツールとなっています。提供企業・導入企業ともに増加しており、今後もさらに SaaS の重要性は高まっていくでしょう。

しかし、SaaS の利用増加に伴いサイバー攻撃による被害件数が拡大しています。SaaS を導入している企業は、顧客情報や機密情報を守るためにセキュリティ対策を最大限に行うことが必要です。万が一、情報漏洩などの被害が発生すると、顧客からの信用失墜や訴訟といった大問題になりかねません。

この記事では、発生する可能性があるセキュリティ被害や、セキュリティリスクを避けるためにユーザーが行うべき対策を紹介します。

SaaS のセキュリティとは？
SaaS 利用におけるセキュリティ面のメリット
SaaS 利用におけるセキュリティリスク
プロバイダが行える SaaS 利用のセキュリティ対策
ユーザーが行える SaaS 利用のセキュリティ対策

無料ダウンロード：企業のデータ活用の鍵を握るデータの「質」～データの質を向上させるデータマネジメントの5つのステップ～

企業のデータ活用の鍵を握るデータの「質」〜データの質を向上させるデータマネジメントの5つのステップ〜

SaaS のセキュリティとは？

SaaS セキュリティとは、情報資産や顧客情報などの安全性を確保することです。たとえば、EUではSaaS セキュリティのための規則をGDPR（一般データ保護規則）¹⁾で定めています。日本では、「クラウドサービス利用・提供における適切な設定のためのガイドライン」²⁾を総務省が発表しました。

SaaS には多くの機密情報や個人情報が保存されています。ユーザーはこれらの情報を守るため、SaaS のセキュリティを意識しましょう。

あわせて読みたい：SaaS とはどのようなサービスなのか？概要から代表的なサービスまで解説

https://www.magicmoment.jp/blog/saas-service/

SaaS 利用におけるセキュリティ面のメリット

SaaS の導入で得られるメリットはすでに広く認識されています。

ソフトウェアの開発が不要
導入コストがリーズナブル
スモールスタートができ、業務拡大に伴って拡張も簡単

今回は、SaaS のセキュリティ面でのメリットを解説します。

情報セキュリティの専門知識と技術を利用できる

SaaS を利用すれば、情報セキュリティに関わるコストを大きく削減できます。なぜなら、プロバイダが専門知識とスキルを活用してセキュリティ対策をしてくれるからです。

多くの中小企業は、情報セキュリティに精通していません。情報セキュリティ向上には、専門知識やスキルを持った人材が必要です。しかし、SaaS を利用すればセキュリティコストを削減し、そのリソースを営業やマーケティングに振り向けられます。

メンテナンスが不要

SaaS なら、自社でのメンテナンスが不要で常に最新のセキュリティで維持できます。

Ponemon Institute によれば、企業の IT リスクでサイバー攻撃はトップです。セキュリティ技術とサイバー攻撃はいたちごっこになっており、常に最新のセキュリティが求められます。以下の資料は、SaaS 利用時に発生しうるリスクの割合です。

出典：Ponemon Institute, Security Beyond the Traditional Perimeter
Executive Summary,

SaaS ならユーザーは運用・保守をせずに、最新のセキュリティ対策を受けられます。

セキュリティリスクからの復旧が容易

SaaS を利用すれば、万が一のトラブルで被害に遭っても復旧が容易です。SaaS プロバイダは定期的にユーザーのデータをバックアップしています。そのため、サイバー攻撃による障害が起こっても迅速な復旧が可能です。

SaaS の導入によって、セキュリティ管理にかかっていたリソースを営業やマーケティングに割くことができると上述しました。以下の記事では、営業とマーケティングが連携して売上拡大をする方法を解説しています。

あわせて読みたい：営業とマーケティングで相乗効果を上げるには？量と質から考える連携【ウェビナーレポート】

営業とマーケティングで相乗効果を上げるには？【ウェビナーレポート】

SaaS 利用におけるセキュリティリスク

SaaS は専門家がセキュリティ対応していますが、セキュリティリスクは存在します。SaaS のセキュリティリスクは以下の通りです。

フィッシング詐欺
データの盗難
マルウェア

フィッシング詐欺

SaaS のセキュリティリスクとして、フィッシング詐欺が挙げられます。フィッシング詐欺とは送信者を詐称したメールを送って偽造した Web サイトに接続させ、クレジットカード・アカウントなどの情報を盗み出すことです。

Palo Alto Netwarks の分析によれば、2020年初頭から2022年6月までで SaaS を利用したフィッシング詐欺は1,100%増加しました。³⁾フィッシング詐欺の URL は正当なドメインで表示されており、フィッシング検索エンジンでも発見が困難です。

データの盗難

SaaS では、データの盗難や意図せぬデータの公開といったセキュリティリスクがあります。

Great SaaS Data Exposure のレポートによれば、平均的な企業において157,000件の機密情報がインターネット上に公開されています。SaaS 共有機能を通じて、ユーザー自身がインターネット上に公開してしまったのが原因のほとんどです。データ侵害リスクを金額になおすと、2,800万ドル（36億7,000万円）相当に上ります。⁴⁾

マルウェア

SaaS を利用する上では、マルウェア・ランサムウェアの脅威も避けて通れません。

クラウドファイル共有サービスは常に、マルウェアやランサムウェアの脅威にさらされています。マルウェア・ランサムウェアは以下の経路から侵入してきます。

メールの添付ファイル
ネットワーク経由
ソフトウェアの脆弱性をついて侵入

マルウェア・ランサムウェアの感染による被害は以下の通りです。

企業機密の漏えい
デバイスに保存されているファイルの改ざん
デバイスが操作不可能になる
デバイスの乗っ取りから、サイバー攻撃の踏み台となる

SaaS は上述したように、さまざまなセキュリティリスクにさらされています。ユーザーはこれらのリスクに対し、セキュリティの高いサービスを選択する必要があります。

セキュリティの高いサービスを選ぶには、総務省のガイドラインを目安にしましょう。くわえて、プロバイダのセキュリティポリシーを確認してください。

万が一、情報漏えいを起こせば顧客からの信頼が失墜し、解約・契約破棄などの事態になりかねません。ユーザーの離脱は情報漏えいといったトラブル以外にも多くの理由があります。以下の記事では、既存顧客の維持の重要性や顧客維持の方法を紹介しています。

あわせて読みたい：新規顧客と既存顧客のどちらを優先すべき？それぞれのポイントについても解説

新規顧客と既存顧客のどちらを優先すべき？それぞれのポイントについても解説

プロバイダが行える SaaS 利用のセキュリティ対策

SaaS を安全に利用するには、プロバイダのセキュリティ対策が重要です。プロバイダの行うセキュリティ対策を解説します。

SaaS データの監視環境を整える

プロバイダは重要なセキュリティ対策として、SaaS データの監視環境を整えましょう。SaaS を利用しているユーザーのすべてのデータを監視し、管理されていないデータを発見したら保護する必要があります。

データの暗号化

SaaS のセキュリティ対策では、データの暗号化も非常に重要です。SaaS はインターネット上からだれでもアクセスできるので、従来のファイアウォールが利用できません。そのため、暗号化と暗号化キーで第三者から情報を保護します。

SaaS を導入するときは、セキュリティポリシーでデータ暗号化をしているか確認しましょう。

顧客の教育

SaaS プロバイダにとって、ユーザーの教育も重要なセキュリティ課題です。Gartner の調査によると、2020年までに発生したクラウドサービスのセキュリティ障害の95%が顧客の責任だと予測されています。⁵⁾

プロバイダは、ユーザーへの質問を通してセキュリティ意識を調査します。また、セキュリティ意識の欠如が、どのような影響やトラブルが発生するのか知らせることも大切です。ユーザーが情報を安全に保てるよう、プロバイダ側から積極的に働きかける必要があります。

セキュリティポリシーとガイドラインの作成

多くの SaaS プロバイダは、セキュリティポリシーとガイドラインを策定しています。セキュリティポリシーとガイドラインは、ユーザーが SaaS を利用する指針となるからです。セキュリティポリシーは策定したあとも、状況の変化に応じて改訂し続ける必要があります。

プロバイダにセキュリティポリシーやガイドラインを確認し、セキュリティの信頼性をチェックしましょう。また、SaaS 自体がセキュリティの指標を満たしているかの確認も大切です。セキュリティの指標は、「セキュリティチェックリストの作成」で後述します。

あわせて読みたい：サブスクリプションビジネスにおけるデータ活用の重要性と効能

サブスクリプションビジネスにおけるデータ活用の重要性と効能

ユーザーが行える SaaS 利用のセキュリティ対策

SaaS のセキュリティ対策は主にプロバイダがしますが、ユーザー側でもできるセキュリティ対策があります。これらの対策を自社内で実施すれば、よりセキュアに SaaS を利用できます。

セキュリティチェックリストの作成

SaaS の導入を検討するときに、確認しておくべき項目を解説します。導入時にこれらの項目で、セキュリティの信頼性をチェックしましょう。チェックするために、セキュリティチェックリストを事前に作成しておくのがおすすめです。

以下の表が、セキュリティチェックリストの項目と概要になります。

セキュリティ項目	項目の概要
セキュリティポリシーを作成	・利用している SaaS をリスト化・サービスごとにデータ保護・ユーザー認証のルールを文章化
業界標準規格を満たしているか	・「クラウドサービス利用・提供における適切な設定のためのガイドライン」を SaaS が満たしているかチェック・情報セキュリティ規格の ISO27000 や SOC2 の基準を満たしているか確認
コアセキュリティ機能を提供しているか	・エンドツーエンド暗号化に対応しているか・プロバイダがユーザーの機密データにアクセスできないか
MFA（多要素認証）を備えているか	・MFA（多要素認証機能）を備えているか・SSO（シングルサインオン）で多要素認証を設定できるか
堅牢な災害復旧プロセスを導入しているか	・データのバックアップが3つ以上あるか・そのうち1つは、メインサーバーとは遠くの場所に保存されているか

わかりづらい用語について解説します。

ISO27000 や SOC2 は、国際標準化機構などによって定められた情報セキュリティの規格です。これらの規格に適合しているサービスなら、セキュリティに信頼がおけます。

エンドツーエンド暗号化は、送信者・受信者のみが暗号化キーを持つ暗号化の仕組みです。暗号化キーが第三者に渡らないため、データが盗み見られても内容は第三者には読めません。

MFA は多要素認証のことです。たとえば、パスワード+秘密の質問は多要素認証の代表例です。ほかにも、ワンタイムキーを入力しないとログインできないシステムも多要素認証になります。

SSO は、1つのログインで複数のシステムを利用できる仕組みです。広義には、Google や Facebook のアカウントでほかのサービスを利用できる仕組みも SSO に入ります。

以上のチェックリストは SaaS 選びだけではなく、営業外注や外部に業務を依頼するときも役立ちます。自社で行えるセキュリティ対策を実施し、安全に SaaS を利用しましょう。

あわせて読みたい：BPO とアウトソーシングの違いとは？BPO企業を選ぶ際のポイントを紹介

BPO とアウトソーシングの違いとは？BPO企業を選ぶ際のポイントを紹介

強力なパスワードを要求

強力なパスワードの利用を従業員に要求しましょう。強度の高いパスワードを使うべきだと多くの人は知っています。パスワードの強度を増すためには、大文字・小文字・数字の3種類を必ず入れましょう。しかし、同時に多くの人は使い慣れたパスワードを使い回します。

強力なパスワードを簡単に使用するなら、Chrome の利用がおすすめです。Chrome は強力なパスワードを自動生成し、ユーザー IDとパスワードの保存ができます。Chrome を同期させれば、別のデバイスでも同じようにパスワードを自動で呼び出せます。

製品採用前にプロバイダを精査する

SaaS の製品を採用する前に、プロバイダを精査しましょう。Mcafee の調査によると、プロバイダの18%が多要素認証をサポートし、保存データを暗号化しているのは10%だけです。ほとんどのプロバイダは、堅牢なセキュリティを構築していません。⁶⁾

プロバイダをしっかりと監査し、セキュリティのチェック項目を満たしたサービスを利用しましょう。

本記事では、SaaS のセキュリティリスクから企業が身を守るために行うべき対策を紹介してきました。

SaaS 企業にはセキュリティの観点でも、ビジネスの成長の観点でもデータの質が結果を左右する重要なドライバーになります。

無料ダウンロード：企業のデータ活用の鍵を握るデータの「質」〜データの質を向上させるデータマネジメントの5つのステップ〜

企業のデータ活用の鍵を握るデータの「質」〜データの質を向上させるデータマネジメントの5つのステップ〜

また、弊社ではトップセールスの水準・内容を再現できる営業支援 SaaS 「Magic Moment Playbook」を提供しています。

Magic Moment Playbook の機能についての詳しい情報はこちらの記事「営業改革を実行するための主要機能」をご覧ください。

Magic Moment Playbook サービスサイト：https://lp.magicmoment.jp/magic-moment-playbook
導入事例：https://www.magicmoment.jp/academy/category/case/

《参考文献》

¹⁾GDPR EU. “GDPR”. 2018-05. https://gdpr.eu/, (参照 2023-03-01)

²⁾総務省. 「クラウドサービス利用・提供における適切な設定のためのガイドライン」. 2022-10. https://www.soumu.go.jp/main_content/000843318.pdf, (参照 2023-03-01)

³⁾UNIT42. “Legitimate SaaS Platforms Being Used to Host Phishing Attacks”. https://unit42.paloaltonetworks.com/platform-abuse-phishing/, (参照 2023-03-01)

⁴⁾Varonis. “Great SaaS Date Exposure”. 2022. https://info.varonis.com/hubfs/Files/docs/research_reports/Varonis-The-Great-SaaS-Data-Exposure.pdf?hsLang=en, (参照 2023-03-01)

⁵⁾Gartner. “Why Cloud Security Is Everyone’s Business”. 2016-08-19. https://www.gartner.com/smarterwithgartner/why-cloud-security-is-everyones-business, (参照 2023-03-01)

⁶⁾Skyhigh Security. “We know data. It’s who we are.”. https://www.skyhighsecurity.com/about.html, (参照 2023-03-01)