要点のまとめ
- 先進のクラウド・ベンダーは堅牢なセキュリティを備えており、多くの場合、会社が独自に導入できる水準を超えています。
- しかし、自社の社会責任や評判の失墜を外部ベンダーに肩代わりさせることはできないため、何もかも任せきりにするわけにはいきません。
- 世界に広く普及している、検討する価値がある認証が5つあります。自社のデータや業界に応じてチェックリストをカスタマイズしてください。
Software-as-a-serviceモデルで提供されるアプリケーションが人気となっているのには、確かな理由があります。ビジネスを遂行するために必要なソフトウェアを記述したり、そのための膨大な事前チェックを記述したりする必要もなければ、アプリケーションを社内でホストするためのインフラや専門知識に出費する必要もありません。IDCが2021年に共有クラウド・サービスへの出費を3,850億ドルとしたことや、2025年までに売上が8,090億ドルに達すると予測したことは驚くに値しません。
会社によってはデータのコピーを保持してSaaSアプリケーションに対してカスタマイズを実行することもありますが、このようなタスクも外注できます。また、クラウドは利便性に優れているのみでなく、適切な管理により、拡張性、自動メンテナンス、信頼性といったSaaSの利点を考えた場合、長期的に見てコストが低くなる傾向があります。
ただし、こうしたメリットとともにリスクがあるのも事実です。
それらのリスクが会社にとってどのようなものであるかは、ソフトウェアの機能、含まれるデータのタイプと機密性、含まれる機能の複雑さ、アクセス制御がどの程度適切であるかなど、様々な要素によって異なります。さらに、休止中のリソースに代金を支払ったり、割引の機会を逃すといったクラウド・サービスにおける財務上の落とし穴がある一方で、ほとんどのリスクはサイバーセキュリティに関連しています。そのため、SaaSアプリケーションの追加を検討するときに、財務責任者は、ビジネス上のメリットとコスト節減を考慮するのとまったく同じように、こうした懸案事項を考慮に入れる必要があります。
多くの場合、下記の3つの問題によって会社の見落としが見つかるはずです。SaaSプロバイダと提携することについて財務上およびセキュリティ上のリスクとメリットの評価を行う際には、標準的なチェックリストを作成してそれに従うことをお薦めします。
クラウド・セキュリティ認証
SaaSプロバイダは、運用環境全体でプロセスとセキュリティ・コントロールの両方を整備していることを証明する認証を取得している必要があります。セキュリティを保証する認証はありませんが、多くの認証評価は、独立した機関がベンダーのプロセスを業界で規定された一連の標準に照らして確認したことを確かに示すものです。最小限の認証では、ベスト・プラクティスが実施されていることが確認されます。
それが何になるのでしょうか?セキュリティ担当は認証なんてどうでもいいと言っていますでしょうか?繰り返しますが、認証はセキュリティを保証するわけではありません。この業界の多くの人は、標準を皮肉な目で見ています。しかし、認証を取得していないということは、システムの信頼性やセキュリティを検証しようとしたことがないことを意味します。重要な点として、認証の取得に関心がないということは、そのプロバイダがこの市場で競争しようと考えていないということです。
求められる5つのセキュリティ認証
ISO/IEC 27001 は、正式な監査と定期的な認証の更新を必要とする、よく知られた国際的にも認められている認証評価です。ベンダーは、情報セキュリティおよびHRポリシー、資産管理と資産コントロール、サプライヤ関係などに関連するコントロールに加え、ビジネス継続性に関する計画とインシデントに対応する方法を備えていることを証明する必要があります。 |
ISO 22301 は、回復力、つまり、中断の可能性を減らすとともに、インシデント発生時の対応と復旧に関する計画を用意しておくことにより、高くつくダウンタイムやデータの損失を最小限に押さえることに関係しています。 |
SOC 2 は、特にサービス企業を対象として米国公認会計士協会(AICPA)によって策定されました。これは、セキュリティ、可用性、処理の完全性、機密性およびプライバシの5つのトラスト・サービス原則に基づいて顧客データの保護に取り組むものです。 |
CSA STAR は、セキュリティ、信頼性、確実性およびリスクに関して、クラウド・セキュリティ・アライアンスによって策定されたものであり、「透明性、厳格な監査、標準の調和」に焦点を当てています。評価のレベルは2つあります。レベル1の自己評価は、何もないよりは良いものの、レベル2の第三者監査ほど厳格ではありません。 |
OWASPアプリケーション・セキュリティ検証標準(ASVS) は、Webアプリケーションの技術的なセキュリティ・コントロールをテストするための基準を提供するとともに、セキュアな開発のための要件のリストを開発者に提供しています。 |
要求する必要がある認証の種類は状況によって異なりますが、前述の5つは最初に考慮するものとして最適です。
内部のポリシーと標準
すべての会社に対する普遍的で重要な推奨事項が1つあります。それは、第三者に適合するために自社のポリシーレベルを下げることは決してしないということです。
それには、SaaSプロバイダとの提携も含まれます。製品がどれほど優れていても関係ありません。すべての従業員が従う必要のあるポリシーと手順を定め、サイバーセキュリティと財務セキュリティについて妥当な厳格性を備えた態勢を整えることが望まれます。ベンダーが少なくとも同様に厳格であることを確認してください。
たとえば、会社が多要素認証を必要としており、ベンダーが多要素認証をサポートしていない場合は、そのベンダーを検討しないでください。
プライバシー
今日、世界的に最もクリティカルな懸念の1つは、プライバシーだと思われます。検討中のSaaS製品が、個人を識別可能な情報(PII)とみなされる可能性があるデータや、それ以外の機密データに触れる場合は、ISO 27018コントロール・セットを含むようにISO 27001を拡張するなど、プライバシー認証をチェックリストに追加してください。
また、プライバシ要件に関する国内および国際法の適用を忘れないでください。
外注するのはあくまでもソフトウェアの管理です。責任や、特に自社の評判に対するリスクを肩代わりさせるわけではありません。
NetSuiteのセキュリティに対するアプローチ |
---|
技術ベンダーは、システムへの便利なアクセスを許可する一方で、堅牢なセキュリティを保持している必要があります。NetSuiteは、SOC 2標準に対する監査を受けているとともに、ISO 27001、ISO 27018およびPCI DSSコンプライアンスを維持しているため、要件を満たしています。 |
結論
定評のあるSaaSベンダーのサイバーセキュリティ機能は、ほぼ間違いなく、自分の組織のものより優れています。ただし、このことを当然だとは思わないでください。何年にもわたって、私はサイバーセキュリティ・プラクティスが不十分なベンダーを評価してきましたが、それらの中には、もっとよくわかっているベンダーだと思っていたものさえあります。たとえば、ある組織は、外部パートナーとデータを共有できると契約に規定していましたが、これはプライバシ違反の可能性があります。ベンダーの中には海外にデータ・センターを持ち海外で業務を行うものもありますが、様々な法律に違反している可能性があります。しかし、もし違反もなくその国に進出できれば、それはセールス・ポイントになるでしょう。EUのデータ・センターは、GDPRコンプライアンスにとって有利です。
確信を持ってSaaSアプリケーションを活用できると私は考えています。リスクよりもはるかに多くのメリットがあります。ただし、現実に応じたデュー・デリジェンスを怠らないでください。
CISSPであるIra Winklerは、Skyline Technology Solutions社のCISOであるとともに、『You Can Stop Stupid』や『Corporate Espionage』、さらにはベストセラーの『Through the Eyes of the Enemy』を含む書籍の著者でもあります。Information Systems Security Association Hall of Fameの会員であり、CSO MagazineによってCSO Compass Award受賞者に指名されました。Iraは多数の業界誌に寄稿し、大きな情報セキュリティ・イベントで基調講演者を務めてきました。
Iraは、国家安全保障局でキャリアをスタートさせ、その後、Internet Security Advisors Group社の社長、HP Consulting社の最高セキュリティ戦略責任者、National Computer Security Associationのテクノロジ担当ディレクタを務めました。ジョンズ・ホプキンス大学とメリーランド大学の教員でもありました。