セキュリティDX

SaaSを導入する前に:担当者が確認すべきセキュリティチェックリスト

株式会社プリファード
SaaSを導入する前に:担当者が確認すべきセキュリティチェックリスト

便利さの裏で、情報は社外に出ていく

業務ツールをSaaS(クラウドサービス)で導入するのは、もはや当たり前になった。しかし契約ボタンを押した瞬間、自社の顧客データや業務情報が「社外のサーバー」に置かれることになる、という事実は意外と意識されない。私たちは新しいSaaSを検討するとき、機能や価格と同じ熱量で「セキュリティ面をどう確認するか」を一緒に見るようにしている。難しい監査は要らない。担当者レベルで確認できるポイントを押さえるだけで、多くのリスクは避けられる。

アカウントと権限:誰が何をできるか

まず確認したいのは、利用者ごとに権限を分けられるか(管理者・一般など)だ。全員が管理者権限、という設計のツールは避けたい。加えて、退会・異動時にアカウントを個別に無効化できるか、招待や削除の操作ログが残るかも見ておく。人の出入りに追従できない権限管理は、そのまま漏洩リスクになる。

SSOとMFA:入口を固められるか

アカウントを守る要は入口の認証だ。SSO(シングルサインオン)に対応していれば、全社の認証を一元管理でき、退職時に大元のアカウントを止めるだけで芋づる式に遮断できる。さらにMFA(多要素認証)が使えれば、パスワードが漏れても不正ログインを防ぎやすい。この二つに対応しているかは、業務の中核に使うSaaSを選ぶ際の重要な判断材料になる。

データの保管場所・暗号化・監査ログ

次に、データがどこの国のサーバーに保管され、通信と保存が暗号化されているかを確認したい。国内保管が要件になる業種もあるので、契約前に運営元へ問い合わせておくと安心だ。あわせて、いつ誰がどの操作をしたかを追える監査ログの有無も確認したい。何かあったときに「調べられる」状態かどうかで、事故後の対応の質が大きく変わる。

退会時のデータの扱いを最初に決めておく

導入時に見落とされがちなのが「やめるとき」の話だ。解約したらデータはどう返却・削除されるのか、エクスポート手段はあるのか。ここを確認しないまま使い始めると、乗り換え時にデータを人質に取られたような状態になりかねない。導入は出口から考える、というのが私たちの基本姿勢だ。

シャドーITを放置しない

最後に、組織全体で気をつけたいのがシャドーIT——情報システム部門の把握しないまま、現場が勝手に契約・利用しているSaaSの存在だ。無料プランで顧客情報を扱っていた、といった事態は珍しくない。私たちは、利用中のSaaSを一覧化し、新規導入時には簡単なチェックを通す運用を勧めている。禁止で締め付けるのではなく、安全な選択肢を用意して申請しやすくすることが、結果的にシャドーITを減らす近道だ。

#SaaS#セキュリティ#SSO#シャドーIT

Related articles

You can talk to us before requirements are finished.

We can start by sorting what to do first. We run businesses ourselves, so the conversation stays about labor and ops. Consultation and estimates are free.

Online meetings / reply by next business day / free consult & estimate