SaaSを導入する前に:担当者が確認すべきセキュリティチェックリスト

便利さの裏で、情報は社外に出ていく
業務ツールをSaaS(クラウドサービス)で導入するのは、もはや当たり前になった。しかし契約ボタンを押した瞬間、自社の顧客データや業務情報が「社外のサーバー」に置かれることになる、という事実は意外と意識されない。私たちは新しいSaaSを検討するとき、機能や価格と同じ熱量で「セキュリティ面をどう確認するか」を一緒に見るようにしている。難しい監査は要らない。担当者レベルで確認できるポイントを押さえるだけで、多くのリスクは避けられる。
アカウントと権限:誰が何をできるか
まず確認したいのは、利用者ごとに権限を分けられるか(管理者・一般など)だ。全員が管理者権限、という設計のツールは避けたい。加えて、退会・異動時にアカウントを個別に無効化できるか、招待や削除の操作ログが残るかも見ておく。人の出入りに追従できない権限管理は、そのまま漏洩リスクになる。
SSOとMFA:入口を固められるか
アカウントを守る要は入口の認証だ。SSO(シングルサインオン)に対応していれば、全社の認証を一元管理でき、退職時に大元のアカウントを止めるだけで芋づる式に遮断できる。さらにMFA(多要素認証)が使えれば、パスワードが漏れても不正ログインを防ぎやすい。この二つに対応しているかは、業務の中核に使うSaaSを選ぶ際の重要な判断材料になる。
データの保管場所・暗号化・監査ログ
次に、データがどこの国のサーバーに保管され、通信と保存が暗号化されているかを確認したい。国内保管が要件になる業種もあるので、契約前に運営元へ問い合わせておくと安心だ。あわせて、いつ誰がどの操作をしたかを追える監査ログの有無も確認したい。何かあったときに「調べられる」状態かどうかで、事故後の対応の質が大きく変わる。
退会時のデータの扱いを最初に決めておく
導入時に見落とされがちなのが「やめるとき」の話だ。解約したらデータはどう返却・削除されるのか、エクスポート手段はあるのか。ここを確認しないまま使い始めると、乗り換え時にデータを人質に取られたような状態になりかねない。導入は出口から考える、というのが私たちの基本姿勢だ。
シャドーITを放置しない
最後に、組織全体で気をつけたいのがシャドーIT——情報システム部門の把握しないまま、現場が勝手に契約・利用しているSaaSの存在だ。無料プランで顧客情報を扱っていた、といった事態は珍しくない。私たちは、利用中のSaaSを一覧化し、新規導入時には簡単なチェックを通す運用を勧めている。禁止で締め付けるのではなく、安全な選択肢を用意して申請しやすくすることが、結果的にシャドーITを減らす近道だ。