ガートナー ジャパンは、SaaSのセキュリティに関する見解を発表した。3つの課題があり、アイデンティティーの保護とデータセキュリティの見直しが重要だとしている。
同社は、企業のデジタル化の推進によってクラウドサービスの中でもSaaSの利用が拡大しており、ITやサイバーセキュリティの責任者がSaaSの安全性の確保に戸惑っていると指摘。アナリストでディレクターを務める矢野薫氏は、「セキュリティが理由でSaaSの活用が進まないと、単にSaaSのメリットを享受できないだけでなく、企業全体のデジタル化の推進自体が減速することになり、企業にとって大きな問題」と警鐘を鳴らす。
課題は「ルールがない」「設定とレベルがバラバラ」「評価と採用に手間が掛かる」の3つ。従来は、IT環境をインターネット(外)とオフィスやデータセンター(内)を分けて細かいルールを設定しなくてもある程度の安全を確保できたが、インターネット中心のSaaSではそれが困難になった。また、SaaSでは個別に認証、アクセス管理、データ保護を講じる必要があり、企業で異なるSaaSの利用が増えると一貫性のあるセキュリティ対策が難しくなり、セキュリティレベルを一定に保てない恐れがある。
さらに、SaaSにはエンドユーザーたるIT以外の事業部門や管理部門の関与が大きく、ITが専門ではない彼らにSaaSのサイバーセキュリティの評価は困難で、採用可否の判断に時間がかかる。これではすぐ簡単に使えるSaaSの利用価値が損なわれるという。
これら課題に対して矢野氏は、「例外なく取り組むべきはアイデンティティーとデータの保護」との見解を示す。個々の従業員を基準にして、業務内容や組織での役割などの点から、SaaSのアプリケーションとそこへのアクセスの必要性を判断する。時間があれば、現状の棚卸しを行い検討する。時間がなければ、まず認証とアクセス制御を強化し、ユーザーの範囲を絞り、利用状況を継続的に見ながら実態に即したルールを設定していく。
加えて矢野氏は、「クラウド上にSaaSのアイデンティティーとデータセキュリティの標準化基盤を作っておくことで、セキュリティの運用を分散させずに一元化できる上に、全てのSaaSに対して同じセキュリティ機能の適用が可能になる」とアドバイスしている。
