情報セキュリティの基礎
12-2 SaaS利用時のセキュリティ
SaaSでは、通常、サービス事業者がセキュリティ対策を実施した上で、サービスを提供しています。SaaSを利用する場合に注意すべきことは、大きく分けて、次の3つです。
SaaS事業者やSaaSサービスが、安心して使えるものか確認する
サービス事業者の信頼性
クラウドサービスを提供する事業者は信頼できる事業者かどうか?
サービスの信頼性
サービスの稼働率、障害発生頻度、障害時の回復目標時間などのサービスレベルは示されているか?
セキュリティ対策
クラウドサービスにおけるセキュリティ対策が具体的に公開されているか?
利用者サポート
サービスの使い方がわからないときの支援(ヘルプデスクやFAQ)は提供されているか?
利用終了時のデータの確保
サービスの利用が終了したときの、データの取扱い条件について確認する。
契約条件の確認
一般的契約条件の各項目について確認する。
上記各項目についての、具体的な確認は、IPAが発行する「中小企業のためのクラウドサービス安全利用の手引き」を参照してください。
http://www.ipa.go.jp/security/cloud/tebiki_guide.html
SaaSの利用者管理を行う
  • 誰が、どのSaaSサービスを利用できるのか、どのレベルの操作を許すのかを定める
    • クラウドサービスの業務ごとに、利用する従業者を登録し、他の者はアクセスできないようにする(アクセス管理)
    • クラウドサービスの利用者について、どの業務、どの情報についてどのような操作・処理を許可するのかを決定する(権限管理)
    • クラウドサービスの利用者一人一人について、ユーザアカウント(ID とパスワードの対)を用意する(利用者認証)
  • 利用者ごとにSaaS利用のためのパスワードの管理を徹底させる
SaaSを利用する端末のセキュリティ管理を行う
SaaSを利用する端末(パソコン、スマートフォン、タブレットPC)のセキュリティは、利用者側の責任です。10節、11節に従って必要な対策を実施します。
クラウドサービスでは、サービスを利用する端末に、スマートフォン、タブレットPCを使うケースが多くなります。社外利用や在宅勤務対応の面からも、利用が増えていますが、これらのデバイスは急速に広まっている技術で、セキュリティも各社や機種やOSの種類によってまちまちですので注意が必要です。
▲ページトップへ