コピー完了

記事TOP

[Microsoft × BOXIL] 2021SaaSトレンドとSaaS利用企業が陥るセキュリティ事故のふせぎ方

最終更新日:(記事の情報は現在から1333日前のものです)
SaaSサービスを利用している企業は、どのようなセキュリティ対策を行うべきなのだろうか。SaaSのセキュリティリスクを理解し、安全に活用する方法を日本マイクロソフトの佐藤氏とスマートキャンプの阿部が語った。[PR]

SaaSを利用する企業は右肩上がりに増加

新型コロナウイルス感染拡大による外出自粛・在宅勤務の推奨をキッカケとして、SaaSサービスを導入する企業が急増している。それにともない顕在化してきたのがセキュリティリスクだ。

利用するSaaSの種類はもちろん、はたらく場所やログインデバイスが多様化する今、企業はどのようにしてセキュアなIT環境を構築すればよいのだろうか。

日本マイクロソフトの佐藤氏と、スマートキャンプの阿部が、SaaSを利用する企業に求められるセキュリティ事故のふせぎ方について語った。

【プロフィール】
佐藤 沙里那 氏
Microsoft Corporation Identity Division
Strategic alliance team Program Manager

2016年、日本マイクロソフト株式会社に入社。法人営業部にて営業業務を担当。現在は「Azure Active Directory」の技術活用の推進を行っている。

阿部 慎平
スマートキャンプ株式会社 取締役COO

2017年3月にスマートキャンプ株式会社に入社。事業戦略・組織戦略の策定、SaaS業界・インサイドセールス業界レポートの執筆、SaaSカンファレンスの主催、インサイドセールス代行・コンサルティング『BALES』、インサイドセールスマネジメントシステム『BALES CLOUD』、オンライン展示会『BOXIL EXPO』の立ち上げなどを推進。

テレワークの推進がSaaSの普及を後押し

日本マイクロソフトの佐藤氏によると、マイクロソフトのID管理・セキュリティ保護プラットフォーム「Azure Active Directory(以下、Azure AD)」の上で計測しているSaaSサービスのアクティブユーザー数は近年右肩上がりに増えている状況だ。

特に2020年は新型コロナウイルス感染拡大の影響によってテレワークが急速に普及した結果、アクティブユーザー数は飛躍的に伸びた。テレワークの実施に欠かせない、SaaSサービスを導入する企業が世界的に急増したのだ。

佐藤氏:テレワーク推進のため、複数のSaaS/クラウドサービスを利用するようになった企業も多いのではないでしょうか。いっぽう、多様化、高度化、巧妙化しているサイバー攻撃に加えて、新型コロナウイルスに関連するフィッシング詐欺が増えたことで、「テレワーク×SaaS」で業務を進めている企業においては、セキュリティリスクへの対策が急務となっています。

約10年前に盛り上がりを見せて一度落ち着いたSaaS業界は、テクノロジーの整備にともなってこの数年で本格的に普及が進み、再度盛り上がりを見せている。BOXIL SaaS業界レポートによれば、SaaS市場は年平均成長率約13%の勢いで急成長しており、2024年までに約1兆1,200億円へと拡大する見通しだ。

さらに、前述の通り、テレワークの導入がSaaS普及に拍車をかけた。

阿部:SaaSはテレワーク時代に必要不可欠なツールです。システム組み込み型のオンプレミスサービスでは、「出社しなければシステムを利用できない」ため、テレワークが実質不可能な状態になるのが難点でした。

いっぽう、SaaSサービスを利用することで、ITシステムの保守体制を社内に持つ必要がなくなります。業務に使うアプリはクラウド上にあるため、場所や機器にとらわれることもありません。このように、テレワーク下でも生産性を落とすことなく業務を円滑に進められるということで、SaaSサービスに大きな注目が集まっているのです。

「Azure AD」のグローバルデータによると1社あたりの平均SaaS利用数は181種類、毎年59%ずつ増加しており、実際に弊社スマートキャンプでも50以上のSaaSを利用しています。

スマートキャンプが運営するSaaSマーケティングプラットフォーム「BOXIL」の資料請求動向を見ても、SaaSの普及が進んだことは明らかだ。緊急事態宣言後、Microsoft TeamsやZoomをはじめとするオンライン会議システムが注目を集め、その後、押印や承認のためだけに出社する「はんこ出社」が話題になると、電子契約サービスの資料請求数が急増した。

また、社会保険電子申請義務化、電子帳簿保存法の改正、年末調整の電子化など、「行政によるデジタルシフト」もSaaSの普及を後押ししている。

「テレワーク×SaaS」セキュリティリスクの把握を

このように国内外でSaaSの利用が進み、はたらく場所や利用デバイスが多様化する中、企業にはSaaSサービスを安全に活用するためのセキュリティ対策が求められている。

<セキュリティリスク×SaaSの多様化>
- パスワードの脆弱性や使い回し、制限の難しさ
- 認証レベルの統一の難しさ
- シャドーIT

<セキュリティリスク×はたらく場所>
- 社外ネットワーク経由での情報漏えい
- 第三者によるのぞき見
- デバイスの紛失・盗難
- 物理的な監視の目が無いことによる不正利用

<セキュリティリスク×デバイス>
- 個人デバイスのウイルス感染
- OSの脆弱性
- 紛失・盗難対象となるデバイスの増加

SaaSサービスを利用する際、もっとも身近なところにあるリスクがログインIDとパスワードの管理だ。パスワード自体がぜい弱で解析されてしまうリスクや、使いまわしによるパスワードの流出によるリスクが考えられる。

個々のSaaSサービスによって、セキュリティ認証の方法や段階が異なるのも問題だ。SMSを使った2段階認証のほか、セキュリティツールや認証ツールが必要なものもあり、管理が複雑化している。

近年では、「シャドーIT」にも注意を払う必要がでてきた。シャドーITとは、従業員個人が自分の判断で会社が許可しないサービスを利用したり、従業員個人が所有するデバイスを許可なく業務に使用することを指す。

阿部:従業員個人が勝手に導入したツールによって、悪意あるウイルスに感染し情報が漏えいしてしまうことや、個人のスマートフォンを業務に利用してパスワードや重要な情報が抜かれてしまうことも考えられます。

このようなリスクが発生しやすいのは、SaaSサービスを数多く利用している企業です。テレワーク下では、社員がどのようなデバイスとネットワークを用いて業務を行っているのかが見えづらく、それに加えて第三者に情報を盗み見られたり、Web会議の音声を録音されてしまったりするリスクも考えられます。

SaaSにおけるセキュリティ課題の解決法は

このように、SaaSの利用にはいくつかのセキュリティリスクがある。では、これらセキュリティにおける課題はどのように解決すればよいのだろうか。

佐藤氏:SaaSを取り巻くセキュリティの課題は複数あります。これらリスクへの対策として、システムごとに強制的に強力なパスワードを設定する、認証を一元化するなどの対策が考えられます。しかし、これらの対応をSaaSサービス提供側のみで解決することは難しく、SaaSを利用する企業が個々でITインフラの整備を行う必要があります。

マイクロソフトが推奨しているのが、SaaSをID基盤と連携することです。これによりアクセス管理がシンプルになり、IDやパスワードをシングルサインオン(SSO)で一元管理できるようになります。そのひとつが、クラウドベースでアクセスコントロールが可能になるマイクロソフトの「Azure AD」です。

「Azure AD」を利用するメリット

マイクロソフトの「Azure AD」を導入することで、複数のSaaSサービスのアクセスを一元管理できるようになる。すでに、他社クラウドIdPやオンプレIdPでSSO連携を実現している企業もいるだろうが、「Azure AD」を使うメリットはどこにあるのだろう。

まず、「Azure AD」は、無料版やOffice365付属版であっても、基本的な機能が網羅されている。つまり、すでにOffice365を利用している企業であれば、別途費用をかけてID基盤を構築する必要はなく、すでにSSOを利用できる環境下にあるのだ。

また、「Azure AD」は、ガードナー社の市場調査(※出典:Gartner Magic Quadrant for Access Management)でリーダーポジションを獲得するなど、市場においてもセキュアなツールとして高く評価されている。

さらに、グローバルSaaSだけでなく、国内SaaSとも連携可能。Webページ上からSSO実現をサポートするSSOアプリケーションギャラリーが用意されるなど、IT技術者向けの手厚いサポートも用意されている。

佐藤氏:ライセンス版の「Azure AD」では、パスワードを複雑化してパスワード自体を強固なものにする機能、生体認証や2要素認証などを加えて認証段階を増やし強化する機能、ワンタイムパスワードやセキュリティキーによるパスワードレス機能を有しています。これらの機能によって、大切なデータを守る強固なセキュリティシステムをログイン管理から構築できるわけです。

それに加えて、「Azure AD」には、あらかじめ設定した条件によってアクセスをコントロールできる機能が備わっている。この機能では、アクセスする場所とデバイスを設定できるため、テレワーク下でもSaaSへのアクセスをコントロールできる。いつ、どの場所で、どのデバイスでログインを試行したのかがわかるようになるため、セキュリティ面での安心感が高い。

たとえば、日本にいるはずの社員が、ニューヨークからアクセスしていると検知された場合「異常」を発見してサインインできないようにしたり、多要素認証を求めたりできるようになる。

また、従業員個人が認可を受けずにダウンロードして利用しているアプリケーションも把握できるようになるという。まずは無償版から「Azure AD」を試し、さらに高度なセキュリティ環境の構築が必要になった段階で有償版に切り替えれば、無駄なコストをかけずに適切なセキュリティ環境を構築できるだろう。

テレワーク時代、SaaS利用におけるセキュリティ対策を再検討する

これまで示してきた通り、テレワークの推進によってSaaSのセキュリティ面での課題が顕在化してきた。マイクロソフトでは、セキュリティ対応に加えて、便利さと柔軟さを備えたモダンなSaaSの特徴として、以下の3点を推奨している。

<Microsoft が推奨する モダンな SaaS の特徴>
- SSO連携による十分なセキュリティ対策の余地がある
- IT 運用管理者が便利に使える
- 自社の組織情報とデータ連携できる

これからのビジネス拡大において、SaaSの活用はますます必要不可欠になっていくだろう。同時にSaaSの最新情報を把握し、またセキュリティに関する関連知識もチェックして、安全に、SaaSの利用を進めていただきたい。

[Sponsored by 日本マイクロソフト]

この記事が良かったら、いいね!をしてください!最新情報をお届けします!
貴社のサービスを
BOXIL SaaSに掲載しませんか?
累計掲載実績1,200社超
BOXIL会員数200,000人超
※ 2024年3月時点