SaaSのセキュリティ対策は、どこから考えればよいか?安心して使うためにすべきこと
SaaS利用が普及し、業務を進める上で欠かせない存在となるなか、そのセキュリティ対策は、従来と考え方を変えることが求められています。SaaSを利用する上で、どう対策をすればよいのか、情報漏えいなどのセキュリティインシデントのリスクを抑えるために、企業がおこなうべきことを解説します。
SaaS利用におけるセキュリティ対策
SaaSの活用が進むなかで、ここ数年注目を集めているのが「ゼロトラスト」です。これまでの企業におけるセキュリティ対策では、社内と社外の“境界線”にセキュリティ機器などを配置することで、社内のシステムやデータを守ってきました。しかし、SaaSでは「守るべきシステム(サービス)やデータが社外にある」状態であり、従来の対策が通用しません。複数のSaaSを活用するなかで、社内・社外を区別せず、利用者の「行動」をベースにその都度正しいかどうかを確認する、ゼロトラストの観点に立った対策へのシフトが求められます。
この対策を進めるには、企業として利用するSaaSそれぞれのIDを、適切に管理する必要があります。だれが、どのサービスに、どのアカウントを持っていて、どのようにアクセスし、どのような操作(アップロード・更新・ダウンロード)をおこなっているのかを把握できていなければ、「そのSaaSを利用可能か」を判断できず、万が一、情報漏えいなどが発生しても、原因をトレースできず、適切な対処もできません。SaaSは、手軽にID(アカウント)を増減できることがメリットではありますが、その分、「使われていないIDが残っている」などから情報漏えいにつながるリスクも高まります。今まで以上にID、アクセス権を厳格に管理・把握することが重要です。
「ID管理・棚卸ツール」と、導入のメリット
このような対策を進めるにあたって有効なのが、「社内システムのIDを一元的に把握すること」と「業務実態と、IDの利用状況に乖離がないかを点検すること」の2つ。これらを進めるために、「ID管理ツール」や、IDの“棚卸”を効率化する「ID棚卸ツール」といったツールを活用します。
基本的に、SaaSのIDは、各サービスに登録し、サービス内で管理しますが、社員がどのSaaSのIDを持っているのか、は別途管理が必要です。個別にExcelなどで管理するケースも見られますが、すべての変更を反映し、最新の情報を維持するとなるとかなりの工数がかかり、限界があります。
また従来は、ほとんどのシステムを情報システム部門が集中的に管理していましたが、SaaSは導入のハードルが低いことから、現場部門が個別に契約・利用するケースも増え、情報システム部門で把握しきれない企業も見られます。
ツールを導入することで、「IDやアクセス権の情報を集約し、統合的に管理できる」「社員のSaaS利用状況を把握できる」といったメリットが得られます。組織として責任を持って管理するためにも、こうしたツールの活用を強くお勧めします。
「ID管理・棚卸ツール」選定のポイント
「IDを統合的に管理するツール」といっても様々ありますが、ツール選定にあたっては、「予防的統制」「発見的統制」という2つの観点で検討することが重要です。
予防的統制とは、ルールに基づいてIDの作成・変更・削除などのプロビジョニングを自動化することで、不正なIDの発生を予防するものです。一方、発見的統制とは、実際に今あるIDの情報を監査し、不正なIDを発見・削除などの対処をおこなうことを目指します。
近年、ゼロトラストなどでも注目されているIDaaS(ID as a Service)は、クラウド上でID管理を実現するツールであり、予防的統制に特化し、SaaSなどと連携することで、IDの統合管理とともに自動プロビジョニングまでを実現します。これに対し、発見的統制を実現するのが、従業員やIDなどの一覧を自動で突合し、確認すべきIDを抽出する「ID棚卸ツール」です。
IDaaSを用いて、すべてを自動化することで完全性を実現するのも1つの方法ですが、自社の状況で、どこまで対応できるのか、などは事前に検討が必要です。機能や価格のほか、下記のポイントについて、よく確認しましょう。
・システム・サービス利用者の範囲
IDaaSでは、人事データベースなどを「正となるユーザ情報」として連携する必要があります。派遣社員・常駐している取引先社員など「SaaSのIDはあるが、人事システム上では管理していない」ケースも多くあります。“人”に関する情報が統合管理できている状態は理想ではありますが、業務や契約などの都合から一筋縄ではいかないのも現状です。
・どのようなシステム・サービスを利用しているか
IDaaSと対象となるSaaSが連携可能、または「ID統合管理をするならば、SaaS以外もまとめたい」という場合には、オンプレミスのシステムの要件なども確認が必要です。
・扱う情報の重要度・業務利用の頻度
システムやサービスで、どのような情報を扱っているのか、どの程度の頻度で利用するのか、などもポイント。例えば、利用頻度が極端に低いシステムなどは、手作業での管理として残し、ID管理ツールの対象から外すことも方法の1つです。
・システム・サービスの運用
「取引先からSaaSのアカウントを発行してもらい利用する」場合など、IDaaSと連携できないケースも。また、オンプレミスのシステムでは、「ネットワークが切り離されており、IDaaSからはアクセスできない」「グループ会社の責任で運用されている」といった事情があるケースもあります。
IDaaSで、すべてのIDを集約し、予防的統制を徹底できれば理想ではありますが、どのサービス・システムのIDを、どこまで管理したいのか、事前によく検討する必要があります。実際、「すべての社内システムやサービスを、IDaaSで管理することは難しい」というケースも多く、まずは実IDの把握・点検を目的としたID棚卸ツールから導入し、発見的統制から徹底を図る企業も見られます。
企業ごとの事情へ柔軟に対応し、IDの発見的統制を実現する「アカンサス」
SaaSによる業務効率化のメリットは大きく、積極的に活用すべき手段の1つです。しかし、セキュリティ対策としてはゼロトラストのような新しい考え方が求められており、企業の情報資産を守るためにも要となるID管理の厳格化は不可欠と言えます。
NTTテクノクロスが提供するID棚卸ツール「アカンサス」では、ExcelやCSVなどのデータをインポートし、突合条件を設定することで、自動で「確認すべきID」を抽出することが可能。SaaSだけではなく、オンプレミス・システムのIDも対象とでき、抜け・漏れのないID管理を実現します。シンプルなツールで、様々な要件・事情に柔軟な対応が可能ですので、まずは、ご相談ください。
あわせて読まれています
