こんにちは。YKプランニング 情報システム部です。

みなさまはSaaSのサービスのセキュリティについて考えたことはありますか？
今回はSaaSのサービスを選定するうえでチェックしたい、セキュリティの確認ポイントについてご説明いたします。

そもそもSaaSとは？

SaaSとは、「Software as a Service」の略称で、「サース」や「サーズ」と読みます。
一般的に、インターネットブラウザを使って提供されるソフトウェアサービスのことを指し、データはクラウド上に保存されます。

セキュリティチェックポイント

大事なデータをクラウドというよくわからない場所にアップロードすることに漠然とした不安がある方もいらっしゃるのではないでしょうか？

安全なSaaSを選定するうえでのポイントを、弊社が提供している経営支援クラウド『bixid（ビサイド）』ではどうなのかという例を交えながらご紹介します。
1.保存データが暗号化されているか？
データが適切に暗号化されていれば万が一データが持ち出されてしまった場合でも読み取られるリスクを下げることができます。データがどのように保存されているかは利用者が判断することはできませんので、各サービスの説明を確認しましょう。

bixidの場合は、複数の暗号化技術を組み合わせることで、より強固にデータを守っております。

2.多要素認証に対応しているか?
IDとパスワードだけの認証では危険だと言われています。
万が一パスワードが突破されたとしても、ワンタイムパスワードなどによる多要素認証に対応していれば、不正アクセスを防ぐことができます。

bixidの場合は、普段使われている環境以外からアクセスがあった際に、ワンタイムパスワードでの認証を実施しております。

3.データセンターの安全性
当然のことですが、クラウドのサービスといっても、雲の上にデータが保管されている訳ではなく、物理的にどこかの場所にサーバーが設置されています。
日本国内や安全な国に設置されているのか、自然災害・火災・停電などへの備えはあるのか、物理的に冗長化されていて、機械が故障した場合にもデータが消えたり、サービスが利用できなくなったりすることはないのか、などを考慮しましょう。

bixidは、MicrosoftのAzureというクラウドサービスの日本国内にあるデータセンターで運用しています。非常に高いセキュリティかつ、多重に冗長化され、バックアップもとられております。

4.IPアドレス制限
SaaSのメリットとして、インターネットにさえ繋がれば、世界中どこからでもアクセスができるというメリットがあります。しかし、セキュリティという観点からすると、世界中から不正アクセスの攻撃を受ける恐れがあるともいえます。
また、従業員が許可なく自宅からアクセスしてしまうという可能性もあります。IPアドレス制限をするとアクセスできるネットワークを限定することができるため、会社のネットワーク以外からのアクセスを禁止することが可能です。

bixidは、組織単位でのIPアドレス制限が可能となっております。

5.外部認証を受けているか？
本当にセキュリティ対策が万全なのか、外部の専門家によって評価をされていると、より安全なサービスといえるでしょう。
また、いくらサービスのセキュリティ対策が万全であったとしても、運営している会社がセキュリティ対策に取り組んでいないと意味がありません。情報セキュリティに関する取り組みは情報セキュリティポリシーとして掲載されていることが多いので、確認してみてください。

bixidは専門機関によるペネトレーションテスト（侵入テスト）を受けております。また、情報セキュリティに関する取り組みが適切におこなわれているかを確認するISMS認証を取得しております。情報セキュリティに関する取り組みはこちらに記載されております。

まとめ

今回は、SaaSのセキュリティチェックポイントを5つご紹介しました。会社の大切なデータを預けることに漠然とした不安をお持ちの方は、上記の内容を参考に、いかにセキュリティ対策が取られているのか確認してみてはいかがでしょうか？