“野良SaaS”放置が招く3つのリスク 危険性はセキュリティ以外にも 専門家に聞く基礎知識(2/3 ページ)
誰がどれだけSaaSを使っているか分からず、コストが増大するリスク
2つ目のリスクはコスト超過につながる可能性だ。「ITの予算が部門ごとに割り当てられている企業が日本では多い。部門ごとにSaaSの料金を決済していると、利用状況を追跡しにくく、本当に必要でないSaaSに料金を払っている場合がある」と篠田常務理事。
例えば名刺管理SaaSなどの場合、企業単位で同じサービスを使っていればコストを削減できるにもかかわらず、各部門で別々のサービスを契約しており、無駄が生じているケースがあるという。
しかも一度導入されたSaaSは利用状況の把握が難しく“見えないコスト”を生みやすい。CASB(Cloud Access Security Broker、クラウドへのアクセスを監視するサービス)を使ったり、支払い情報を追ったりしても、実情がつかみにくいという。
「CASBを使えば確かにどんな通信が発生していて、どんなサービスを使っているのかを確認できる。ただ、IPアドレスなどから『誰が使っているのか』まで割り出すのは大変な手間。請求書類からの把握も難しい。クラウドサービスの請求は紙で来ず、クレジットカードの支払い情報を見ても決済代行業者を挟んでいるとベンダーの名前を追えない。10人くらいの小規模な企業ならともかく、大企業は調べ切れないと思う」(金井さん)
SaaSの利用規約に違反するコンプライアンスのリスク
最後はコンプライアンスの問題だ。野良SaaSが常態化している企業だと、複数人でのアカウントの使いまわしなど、規約に違反する使い方が起こりやすくなる。ベンダーはこういった規約違反をすぐに検知できる一方、野良SaaSはIT部門や管理部門が利用状況を確認できず、事態の把握が遅れるので、トラブルになりやすいという。
SaaSで使うデータの置き場所が問題になるケースもみられる。海外製SaaSなどは、データを日本ではなく海外のサーバに保存している場合がある。
サービスによっては、データのダウンロードや利活用に関する規約を日本ではなく海外の法令に合わせているものもあり、知らずに使うと違反してしまうリスクもあるという。これもIT部門などが導入時に確認をしていれば避けられるが、野良SaaSだと見逃しやすくなる。
関連記事
「クラウド設定ミス」がなくならないワケ 実は経営側にも責任? セキュリティ診断企業に聞く
クラウドの設定ミスに起因するセキュリティのトラブルが後を絶たない。こういったミスがなくならない背景には、単純な手違いだけでなく企業の経営側にも原因があるという。セキュリティ診断を手掛けるラックに、設定ミスがなくならない理由を聞く。
クラウドの設定ミスを防ぐコツは? 100を超えるSaaSを比較した“SaaSおじさん”に聞く
クラウドサービスを導入する企業が増える一方で、設定ミスなどが原因のセキュリティ事故を心配する声も多い。では、どのような対策があるのか。クラウドの導入支援を手掛けるネクストモードの“SaaSおじさん”に説明してもらった。
クラウド利用で高まる情報セキュリティリスク、その原因は? IT担当者が身に付けるべき運用の心構え
クラウドサービスの業務利用が当たり前になった今、情報セキュリティに関するネガティブなニュースが目に付くことも非常に増えた。自身が被害者にならないために、そして二次的な被害の加害者にならないために何ができるのか。
クラウドの設定ミス、気を付けても見落としがちな“あるポイント” セキュリティ診断会社に聞く
クラウドサービス、特にSaaSの設定ミスによって相次ぐ情報流出。こういった動向を受け、外部の診断サービスなどを使い、自社が利用しているクラウドサービスの設定を見直す企業が出ているかもしれない。そこで、実際に診断サービスを提供するラックに、企業の動向や見落としがちな設定を聞いた。
Salesforce、Trello……“設定ミス”で情報漏えい、どう防ぐ? 注意点を専門家に聞く
「Salesforce」や「Trello」といったSaaSの設定ミスに起因する情報漏えいが相次いでいる。しかしDXの推進が叫ばれる今、SaaSの利用を取りやめる判断は現実的ではない。企業はどうすれば情報漏えいを防ぎつつ、SaaSを使い続けられるのか、注意点を専門家に聞いた。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR
ITmediaはアイティメディア株式会社の登録商標です。