SS1製品サイトSaaS利用に関するセキュリティリスクを知る
インターネット上で提供されるソフトウェアをサービスとして必要なときに使うSaaS(Software as a Service) を導入する企業が増えています。メールやチャット、カレンダー、文書作成ツールなど、多くのソフトウェアが提供されており、便利に使える一方で、セキュリティ上のリスクもあります。組織として導入するときに知っておきたいリスクを紹介します。
退職者アカウントの放置による情報漏えいリスク
SaaSはインターネット上で提供されるため、その利用には会員登録が必要で、一般的には利用する従業員1人に1つのアカウントを作成します。そして、従業員はIDとパスワードなどを入力して使用します。
ここで問題になるのは、従業員の人事異動や退職により、そのサービスを使わなくなったときです。一般的には、人事異動や退職の際には、アカウントやデータの引き継ぎを促しますが、そのときに元のアカウントが残ったままになっている場合があります。
パスワードを第三者に知られなければログインされることはなく、セキュリティ上の問題はないと考えるかもしれません。しかし、アカウントが残っていると、大きく分けて2通りのリスクがあります。
1つは、パスワードが盗まれるリスクです。フィッシング詐欺などでIDとパスワードを盗まれる可能性があるだけでなく、パスワードの総当たり攻撃や辞書攻撃などによってパスワードが第三者に知られてしまう可能性があります。
もう1つは、本人によるログインのリスクです。退職したにもかかわらず、アカウントが残っていると、社外からログインできてしまいます。このSaaS上に重要なデータが残っていると、情報を持ち出すことができてしまいます。
このようなリスクがあるため、基本的には人事異動や退職などでアカウントが不要になったタイミングで、アカウントを停止しなければなりません。このとき、必要なデータが残っているのであれば、アカウントを削除するのではなく無効にすることでログインできない状態にできるサービスもあります。データが不要であれば即時削除します。そのうえで、不要なアカウントは定期的に確認して削除することを徹底します。
シャドーITのリスク
企業がSaaSを導入する際は、組織として契約し、従業員にアカウントを付与します。しかし、SaaSは個人でも無料または安価に導入できるものも多く、個人で取得したアカウントを使って業務を進める例が報告されています。
このように、企業の情報システム担当者などが把握していないSaaSなどの利用を「シャドーIT」といいます。従業員は業務を効率化する目的で、便利なツールを使用しているものですが、その契約状況を組織として把握できないと、さまざまなリスクが発生します。
まず考えられるリスクは情報漏えいです。組織として管理しているアカウントではないため、従業員の退職などの際に停止できません。また、自宅など社外で自由にアクセスできるアカウントであり、情報の持ち出しが可能になってしまいます。
情報漏えいなどの事案が発生したときの初期対応の遅れも考えられます。組織としてそのサービスを利用しているという実態を把握していないため、外部から指摘されても、その影響範囲を調べることも難しく、対応には時間がかかります。
情報が失われるリスクもあります。不適切なデータを保管していた、などの理由でSaaS事業者からアカウントを停止される(BANされる)ことがあると、そのアカウントに保存していたデータを取り出せなくなるのです。組織として契約しているアカウントであれば、管理者がアカウントを停止することはありますが、組織として状況を把握できます。
しかし、個人の契約であれば事業者によって止められてしまう可能性があります。
こういったリスクを減らす対策として、シャドーITを禁止するなどのポリシーを明確にし、遵守させることはもちろんのことながら、有効なツールであれば組織として契約することが挙げられます。「便利なのに組織として契約できないから個人として使う」という言い訳を許さないために、その費用対効果を意識して、必要であれば適切なツールを導入することが求められます。
公開範囲の設定ミスによる情報漏えいリスク
情報を持ち出そうと考えるような意図的な情報漏えい以外にも、本人に悪意がなくても情報が外部に流出してしまうことがあります。その代表的な例が、「公開範囲の設定ミス」です。
SaaSのツールの中には、オンラインストレージやデータベース機能を持つもの、ソーシャルメディアなど情報を発信するためのものなどがあります。
オンラインストレージでは、ファイルを第三者と共有する機能を備えているものが多いものです。このとき、そのツールについての利用者の知識不足や操作ミスなどによって適切なアクセス制限が設定されないことがあります。本人は特定の相手としか共有していないつもりでも、不特定多数が閲覧できてしまう可能性があります。
また、データベース機能を持つWebアプリに個人情報を含む顧客情報などを登録していて、その公開範囲を誤っていると、検索エンジンなどに登録されてしまい、削除することが面倒な状況も発生します。機密情報が競合他社や第三者に利用されると、組織の信用が低下し、業務に悪い影響を及ぼす可能性があります。
ソーシャルメディアの利用などにおいても、写真を投稿したときに、その背後に公開されてはいけない情報が映り込んだり、第三者の肖像権を侵害したりするような事例があると問題になります。また、投稿した場所の位置情報がわかると自宅などのプライバシーが侵害される可能性もあります。
こういったリスクを軽減するため、公開範囲の設定には細心の注意を払う必要があります。データを共有する際には、その内容と公開範囲の設定を複数人で確認するなど、高い意識を持って操作する必要があります。
新たなツールを導入する際には、従業員に対して使い方のトレーニングを実施するだけでなく、リスクの説明や不適切な設定の例などを伝えることも有効です。
なお、Microsoft 365に含まれるオンラインストレージサービス「OneDrive」「SharePoint」では、管理者側でユーザーのファイル公開範囲を指定することが可能です。具体的には、「すべてのユーザーがアクセス可能」という公開設定を選択できなくさせるといった方法が挙げられます。
可用性についてのリスク
ここまでは情報漏えいを中心にリスクを紹介してきましたが、セキュリティを考えるときは可用性について考慮する必要があります。つまり、必要なデータを必要なときに使えないリスクです。
具体的には、SaaSを提供しているサーバーの障害やサービスの終了に伴って、保管しているデータにアクセスできないリスクです。
たとえば、サーバーに障害が発生すると、データには問題なくても、SaaSのソフトウェアが正しく動作しないことで、欲しい情報を取得できないこともあります。
また、SaaSを提供している事業者の倒産や不採算業務の停止によるサービスの終了のリスクもあります。ソフトウェアが手元にあれば、そのソフトウェアのサポートが終了してもソフトウェアを使い続けることはできるかもしれませんが、SaaSの場合は一切使えなくなってしまいます。
他のSaaS事業者のサービスに移行しようと思っても、データの形式に互換性がないことが多く、移行が困難なこともあります。
まとめ
SaaSの利用は業務の効率化に有効ではあるものの、機密情報の取り扱いや可用性の確保にはこれまで以上の注意が必要です。GDPR(一般データ保護規則)やCCPA(カリフォルニア州消費者プライバシー法)など、データ保護とプライバシーに関する厳格な法律が存在する現在では、公開範囲の設定ミスなどが発生すると、会社の存続に関わるリスクとなる可能性があることを理解して使わなければなりません。
しかし、「リスクがあるから使わない」のではなく、「どのようなリスクがあるのかを知って使う」ことが大切です。
また、それぞれのSaaSに搭載されている機能や、IT資産管理ソフトなどの外部ツールを駆使するのも、対策として有効な手段になりえます。管理者側からのシステム的な制御・監視の実行も視野に入れて、SaaSの管理・運用をおこなうことをおすすめします。
【参考】IT資産管理ソフトSS1「SaaS管理機能」
【参考】IT資産管理ソフトSS1「Microsoft 365管理機能」
増井 敏克氏(ますい としかつ)増井技術士事務所代表。技術士(情報工学部門)、情報処理技術者試験にも多数合格。
ビジネス数学検定1級。
「ビジネス」×「数学」×「IT」を組み合わせ、コンピューターを「正しく」「効率よく」使うためのスキルアップ支援や各種ソフトウェア開発、データ分析などをおこなっている。
著書に『図解まるわかり セキュリティのしくみ』『図解まるわかり プログラミングのしくみ』『図解まるわかり アルゴリズムのしくみ』『IT用語図鑑』『IT用語図鑑[エンジニア編]』『Pythonではじめるアルゴリズム入門』『プログラマ脳を鍛える数学パズル』『プログラマを育てる脳トレパズル』(以上、翔泳社)、『プログラマのためのディープラーニングのしくみがわかる数学入門』『プログラミング言語図鑑』(以上、ソシム)、『基礎からのプログラミングリテラシー』(技術評論社)、『RとPythonで学ぶ統計学入門』(オーム社)などがある。
