SaaSのセキュリティ対策ってどうやるの？ まずは周辺のリスクを整理しよう：そのSaaS本当に安全ですか？

SaaS事業者がサイバー攻撃の被害を受けてサービスを停止したり、ヒューマンエラーなどによって個人情報が漏えいしたりといったセキュリティ事案が発生している。安心、安全なSaaSを見極めてセキュリティ性を適切に評価するポイントを探ります。

[早崎敏寛，アシュアード]

　企業におけるSaaS利用は年々増加しており、企業活動や事業にとって必要不可欠な存在になっている。しかし普及に伴い、SaaSがサイバー攻撃の被害を受けてサービスを停止したり、SaaS事業者のミスによって個人情報が漏えいしたりといったセキュリティ事案がよく聞かれるようになった。

　最近では、サービス内容やコストと並んで「セキュリティ評価」はSaaSを選定する上で重要なポイントになっている。本連載は、第三者機関として年間数千件のSaaSをはじめとしたクラウドサービスのセキュリティ評価を実施する「Assured」を運営するアシュアードの早崎敏寛氏（セキュリティグループ　マネジャー）がSaaSのセキュリティ評価を実施する上で重要なポイントをお伝えする。

　連載初回となる本稿では、SaaSに関する世の中の動向と利用における事業リスクを解説する。

筆者紹介：早崎敏寛氏（アシュアード　Assured事業部　セキュリティグループ　マネージャー）

Webシステム開発を中心としたSIでキャリアをスタートし、金融システム子会社でPM、インフラ構築・運用などを経験。総合コンサルティングファームのアビームコンサルティングでマネジャーとしてセキュリティコンサルティングを担当した後、クラウドサービス（SaaSなど）の安全性を第三者評価するセキュリティ評価プラットフォーム「Assured」を運営するアシュアードに入社。セキュリティ領域のドメインエキスパートとしてサービス開発や顧客支援を担い、年間数千件のクラウドサービスのセキュリティ評価を実施しているAssuredのセキュリティ評価責任者を務める。主な保有資格はCISA、CISM、PMP。

SaaS利用動向から考える　なぜセキュリティ評価が重要なのか？

　まずはSaaS利用に関する動向を見ていきましょう。2023年は「ChatGPT」をはじめとした生成AI（人工知能）が大きな話題となりました。当初は導入を様子見する企業も多かった印象ですが、先行して利用を開始した企業のニュースが増えるのに従い、業務利用に踏み出す企業が着実に増え、今では私たちの業務効率化に大きく貢献しています。生成AIを組み込んだSaaSの動向は今後も注視する必要があるでしょう。

　2023年11月末には、デジタル庁が募集した政府機関共通のクラウドサービス利用環境「ガバメントクラウド整備のためのクラウドサービス」（以下、ガバメントクラウド）に要件緩和による条件付きではありますが、国産のクラウドサービスが初めて認定されました。

　経済安全保障の観点からも、今後はガバメントクラウドに採用される国産のクラウドサービスは増加する見込みです。地方自治体においては、原則2025年度末までに基幹システムをガバメントクラウドに移行することが求められていることもあり、SaaSをはじめとしたクラウドサービスの利用が増加すると考えられます。

　次にSaaSに関連したガイドラインなどの動向を解説します。SaaSにはITコスト削減や業務効率の向上、迅速なシステム構築・運用といったさまざまなメリットがある一方で、クラウドの設定ミスやサプライチェーン攻撃などセキュリティリスクも存在します。

　これを解消して安全かつ安心にクラウドサービスを利用するために、国内外ではさまざまな規制やガイドラインが整備されており、世の中の動向に則した改訂が重ねられています。2023年には以下のガイドラインが改訂されました。

2023年に改訂されたガイドライン

ガイドライン	関係府省	改訂概要
医療情報システムの安全管理に関するガイドライン 第6.0版	厚生労働省	クラウドサービスの特徴を踏まえたリスクや対策の考え方を整理するとともに、医療機関などのシステム類型別に責任分界の考え方などを整理
地方公共団体における情報セキュリティポリシーに関するガイドライン（令和5年3月版）	総務省	クラウドサービス上で標準準拠システムなどを整備及び運用する場合の考え方とその対策基準を示し、記載された内容を参考に情報セキュリティポリシーの見直し
政府機関等のサイバーセキュリティ対策のための統一基準群（令和5年度版）	内閣官房内閣サイバーセキュリティセンター（NISC）	情報セキュリティに関するサプライチェーン対策の強化やクラウドサービスの利用拡大を踏まえた対策の強化
サイバーセキュリティ経営ガイドライン Ver 3.0	経済産業省	自社のサイバーセキュリティ対策にとどまらず、クラウドサービスの利用などのデジタル環境を介した外部とのつながりの全てを含むサプライチェーン全体を意識し、総合的なサイバーセキュリティ対策の実施

　また経済安保法制の施行によって、特定社会基盤事業者は特定重要設備の導入や重要維持管理などの委託について事前に審査を受けることが求められます。対象にはSaaSをはじめとしたクラウドサービスも含まれるため、これまで以上にセキュリティ評価が重要になります。

後を絶たないSaaS関連のインシデント　著名サービスが続々と被害に

　SaaSにおいてセキュリティインシデントが発生すると、影響は広範囲に及びます。数年前には、著名なクラウド型の顧客管理システムで設定不備が発生し、顧客情報流出などの事態に発展しました。

　こうした事態を防ぐために、SaaSをはじめとしたクラウドサービスに関するガイドラインの整備が進んでいますが、セキュリティインシデントは後を絶ちません。2023年には以下のインシデントが発生して話題になりました。

2023年に発生したインシデント

概要	被害・影響
総合転職情報サイトに対するパスワードリスト攻撃により不正ログインが実行され、Web履歴書への不正アクセスが発生	約25万人分のWeb履歴書が漏えいした可能性
社労士サービスなどがランサムウェアに感染し、サービスの停止および個人情報の漏えいの恐れ	サービス停止が約1カ月続き、約3400のユーザーに影響
オンラインストレージサービスの脆弱（ぜいじゃく）性を悪用した不正アクセスにより、同サービスに保存されていた個人情報が漏えい	同サービスを利用していた複数の組織で情報漏えいが発生
保険代理店システムの参照権限設定不備によって一部の代理店から本来アクセスできない契約者の個人情報を参照できた可能性	約400の代理店および他の生損保各社にも影響が発生

　情報処理推進機構（IPA）の「情報セキュリティ10大脅威 2024」の第2位に「サプライチェーンの弱点を悪用した攻撃」がランクインしているように、クラウドサービスを含むサプライチェーンに対する脅威は年々高まっており、今後もSaaSに関するセキュリティインシデントは増加することが予想されます。

SaaS利用でありがちな2つのリスクとは？

　SaaSに関連したセキュリティインシデントが増加している今、これを利用する事業リスクを把握してサービスを選定する必要があります。筆者はSaaS利用における事業リスクを以下の2つに分けています。

　1つ目は情報資産の漏えいと滅失、毀損（きそん）です。

　SaaS事業者や再委託先の従業員による情報の持ち出しや設定ミス、誤操作、SaaSに対するサイバー攻撃により情報を窃取および暗号化されることで、利用中のSaaSに入れている秘密情報や個人情報が漏えい、滅失、毀損することがあります。

　情報資産の漏えい、滅失、毀損が発生した場合、事業にはまず金銭的な影響が発生します。情報漏えいなどに対するクライアントや利用者への賠償金の支払い、記者会見や問い合わせ窓口の設置といったインシデント対応費用、欧州連合（EU）の「GDPR」（EU一般データ保護規則）に関係する場合は、違反したことで高額な罰金が科せられることが考えられます。この他、信用やブランド価値の低下による株価の下落や売り上げの減少といった影響もあります。

　2つ目は事業継続です。

　SaaSとはいえ物理的な機器で稼働しているため、機器の故障や地震、水害などの自然災害、ランサムウェア攻撃によるシステムやデータの暗号化といった原因で業務停止または事業遂行が困難になることがあります。これ以外にもSaaSの機能や仕様変更による業務の混乱や停止といった事態も想定されます。

　SaaSの責任共有モデルを考慮すると、権限設定やデータ管理などについては利用者側の責任範囲となるため、こちらで対策を講じる必要があります。一方で、SaaS事業者側の責任範囲については利用者側で対策を講じれないため、事業者任せとなります。

　そのため、SaaS利用における事業リスクを低減させるためには、網羅的なセキュリティ対策が継続的に実施されているSaaSを選定する必要があるでしょう。次回は、Assuredがこれまでに評価したSaaSのセキュリティ対策状況のデータから、対策の実態を取り上げます。