最近では、日本国内においても自社のデータセンターでないとセキュリティが不安などと言われるようなことはなくなってきています。世間を賑やかす情報漏えい事件のほとんどが自社のデータセンターからの漏えいである状況を見てもSaaSはセキュリティが不安であるということ自体がもはや時代遅れのような感じになりつつあります。
その証拠に、AmazonやGoogle、Salesforce、Office 365、NetSuite、Box、HubSpotと言われるような業界屈指のSaaSからの情報漏えい事件は全くと言って良いほど聞かないのではないでしょうか。これらの企業は、情報漏えいがビジネスの根底を揺るがしかねないことを十分に理解しており、セキュリティ対策に対して大量の資金を投じトッププライオリティで取り組んでいるのです。
オンプレミスのほうが安全?
オンプレミスのほうが安全か、SaaSのほうが安全かという議論に関して言えば、どちらが勝っていて、どちらが劣っているということは言いづらい側面もあります。非常に機密性の高い情報を大量に有している企業は、オンプレミス環境に、前述した業界をリードするSaaS企業並みにセキュリティ対策を実現している場合もあるでしょう。しかし、いくつかの例外を除き、SaaSを提供する企業に比べ、ほとんどの企業はセキリティ対策に資金や人材を投資していません。これは当たり前の話ですが、多くの企業は本業への投資に集中したいからに他ならないからです。経営陣にとっても殆どすべての一般企業において最優先でセキュリティ人材を採用しようなどと言っている企業は稀であるか、情報漏えい事件を起こした時だけではないでしょうか。
SaaSベンダーのセキュリティ対策は公開されている
それではSaaSベンダーの提供するソフトウェアのほうが安全であるとは言い切れませんが、少なくともNetSuiteやOffice 365、Salesforceといった企業のデータセンターは、一般企業のものに比べて安全である可能性は高いでしょう。
例えばクラウドERPを提供するNetSuiteなどでは、以下のようなデータセンターセキュリティの情報を公開しています。
以下は、物理的なアクセスに関してNetSuite社がどのようにセキュリティを管理しているのかを一部抜粋しました。
物理的なアクセス:
NetSuiteの米国、ヨーロッパに複数運営されているデータセンターの技術者は、厳格な物理的セキュリティポリシーを尊守しており、事前に権限を与えられたNetSuiteの従業員に対する、エスコートの無い入室を管理しています。
- セキュリティの最初のレイヤーでは、写真付きIDによる非接触アクセスカードとバイオメトリック認証システムによる認証が含まれています。マルチファクター認証によって、バッジ紛失のリスクや、なりすましなどの様々な不正侵入の試みを防ぎます。カードリーダーは、入り口の主要なポイントに配置されており、データセンターの重要なエリアを確保するために利用されています。
- 一人用の入室とT-DARによる1人認証による入退出管理システムにより、追従侵入を防ぎます。信頼性の高い検知と追従侵入防止により、アクセス制御システムの有効性を高めています。
- 全てのドアは警戒され監視されており、外壁、ドア、窓、そして、内部の入り口は、UL認証を取得した材質によって組み立てられています。データセンターの周辺では、侵入者が隠れる場所を作らないように、植物やオブジェなどは適切に配置されています。
このように、アプリケーションのセキュリティ(暗号化やアクセス権限、アカウントロックアウト、IPアドレス制限、強固なパスワードポリシーなど)に加えて、監視体制や物理的なアクセスなどの情報が公開されています。
[SMART_CONTENT]
第三者機関による認証
また、ベンダー自らがセキュリティは大丈夫であると発していても、本当かどうかはわからないため、第三者機関による認証取得にも力を入れています。
例えば、同様にNetSuite社の場合、SAS 70 TypeIIの監査に対応すると同時にPCIデータセキュリティスタンダードに準拠、さらにEU米国間セーフハーバー協定の認定を取得しています。
NetSuiteのSAS 70 type IIは、米国でBig 4と呼ばれる監査法人によって監査されています。NetSuiteについてのSAS70監査レポートでは、ネットワーク、セキュリティ、バックアップ、復旧手続き、システムの可用性そしてアプリケーション開発を含むNetSuiteの管理体制が、徹底した監査を通過したことを証明ંしています。米国サーベンス・オクスリー法404条では、SAS70 Type IIの監査レポートは、企業の財務レポートに対する内部統制の有効性をં示すものとして、必須であるとされています。
また、PCIデータセキュリティスタンダードの要求に従い、NetSuiteでは、オプションで3Dセキュアクレジットカード認証を提供しています。これは、Visa並びにMasterCardのセキュアコードによる認証として知られています。3Dセキュアでは、クレジットカードの不正利用への対抗策として、より高いレベルの保護を提供しています。
このように、第三者機関の認証を得ることで業種や業界が扱う様々な規制に対応していることを証明しており、裏を返せば、それらのテストに合格しているためより安全であると言えるのではないでしょうか。
まとめ:事業に集中するためにSaaSを利用する
もう想定できると思いますが、一般企業が自社でこれらの認証をパスするためには多額のコストとリソースを費やさなくてはなりません。大企業のごく一部以外は、全く考えられない投資であると言っても過言でありません。
セキュリティ面だけでなく、事業への集中や経営スピードへの柔軟な追従を求める場合、要件やコスト重要性に合わせて、AmazonやGoogle、Salesforce、Office 365、NetSuite、Box、HubSpotといったSaaSを長い時間かけずにシステムを導入、運用することは、より現実的な選択になってきたと言えるでしょう。
