以前は、SaaSのセキュリティは不安だからオンプレミスでシステムを構築するという企業が大半でした。しかし、最近ではそのような声はほとんど聞かれななくなってきました。私たちの目に飛び込んでくる情報漏えい事件のほとんどが、一般企業のデータセンターからの漏えいです。AmazonやMicrosoft、Salesforce、NetSuiteといった企業向け大手SaaS事業者からの情報漏えい事件は全くと言って良いほど聞かないことから、その安全性も証明されつつあるのではないでしょうか。
本記事では、Office 365 のセキュリティに焦点をあててご紹介します。
セキュリティに積極的に投資するSaaS事業者
SaaSベンダーのセキュリティ投資は、想像を絶するほど膨大です。なぜならこれらのSaaSベンダーは情報漏えいがビジネスの根幹を揺るがすものであることを熟知しているからに他なりません。もちろん一般企業においても重要な情報を保有する事業を行っている場合にはセキュリテイに対する多額の投資を行っています。
SaaSベンダーの提供するソフトウェアのほうが安全であるとは言い切れませんが、少なくともOffice 365やSalesforce、NetSuiteといった企業のデータセンターは、一般企業のものに比べて安全である可能性は高いでしょう。
Office 365 : セキュリティに対する情報開示
2014年12月から日本国内データセンターを稼働させたMicrosoft Office 365においては、国内にデータ保管することをパブリック クラウド利用の要件とされることが多い金融や医療機関、官公庁・地方自治体などの業界規制の沿った運用が可能になるため利用が加速しています。
導入する際には多くのユーザーは、そのセキュリティは問題ないのかということをチェックします。そして、マイクロソフト社ではユーザーの要件に対応するために積極的にセキュリティに関する情報を開示しています。
以下はOffice 365が実際に動作する施設(データセンター)およびそこでのマルウェア対策に関しての情報を一部抜粋しました。
物理的な施設に関して
Office 365利用者のデータは、地域ごとのデータの場所に関する考慮事項を勘案しながら、地理的に分散した Office 365 データ センター内に格納されます。データ センターは、自然災害や不正アクセスなどによる被害からサービスとデータを保護することを目的として新たに構築されたものです。物理的なアクセス制御には、バッジとスマートカード、生体スキャナー、社内のセキュリティ責任者、継続的なビデオ監視、多要素認証など、複数の認証およびセキュリティ プロセスを利用しています。データ センターはモーションセンサー、ビデオ監視、およびセキュリティ違反の警報を用いて監視されています。また、自然災害に備えたセキュリティとしては、自動防火、消火システム、および耐震ラックを必要に応じて設置しています。
マルウェア対策、修正プログラムの適用、および構成管理
マルウェア対策ソフトウェアの使用は、Office 365 の資産を悪意のあるソフトウェアから保護するための主要なメカニズムです。このソフトウェアは、コンピューター ウイルスやワームのサービス システムへの侵入を検出し、防止します。また、感染したシステムの検疫を行い、修復措置が取られるまでの間、それ以上の被害を防ぎます。マルウェア対策ソフトウェアは、悪意のあるソフトウェアを予防および検出する制御を提供します。標準パッケージの使用の概要が示される場合、サーバー、ネットワーク デバイス、その他のマイクロソフト アプリケーションの標準の基本構成要件が記述されます。これらのパッケージは、事前にテストされ、セキュリティ制御で構成されています。運用環境に対する更新プログラム、ホットフィックス、および修正プログラムなどの変更は、同じ標準の変更管理プロセスに従います。修正プログラムは、発行会社が指定する期間内に導入されます。変更は、導入前にレビュー チームと変更諮問委員会 (CAB) により、適用性、リスク、およびリソースの割り当てについて見直しと評価が行われます。
第三者機関による認証
ベンダー自らがセキュリティは大丈夫であると発していても、本当かどうかはわからないため、例えばマイクロソフトでは積極的な情報開示のみだけでなく第三者機関による認証取得にも力を入れています。
一般的にセキュリティ監査は、政府や業界からの指示や内部ポリシー、業種業界のベスト プラクティスが元になっています。
Office 365 の場合は ISO 27001 や SSAE16 SOC 1 (Type II) 監査などの独立した検証を受け、米国 EU 間セーフ ハーバー フレームワークと EU モデル条項によりデータを欧州連合外に移転することができます。また、積極的にすべてのお客様と HIPAA Business Associate Agreement (BAA) を締結し、FISMA の下で米国政府関係機関から運用権限を受け、Cloud Security Alliance の公共登録を通じてセキュリティ対策を開示しています。Office 365 ではこれらの基準を満たすために導入されたセキュリティ制御を、すべてのユーザーに提供しています。
日本初のクラウドセキュリティ(CS)ゴールドマークを取得
また、特筆すべきは日本セキュリティ監査協会JASA-クラウドセキュリティ推進協議会が制定した「クラウド情報セキュリティ監査制度」において、日本初となる「クラウドセキュリティ(CS)ゴールドマーク」を取得した点が挙げられます。
「クラウド情報セキュリティ監査制度」は、クラウドサービスを提供する事業者のサービスのセキュリティが、国際的な基準(ISO/IEC 27017)で求められる水準であることを示すことを目的とし、サービス提供の実態が、情報セキュリティマネジメントの基本的な要件を満たしているか評価する仕組みとして制定されたものです。この「CSゴールドマーク」は、国際的な基準とされるSOC 2にならぶ、日本で初めての第三者認定制度です。クラウドサービスの利用者は、このCSゴールドマークを監査結果として利用することが出来るようになるため大きなメリットと言えるでしょう。
まとめ
一般企業が、自社でセキュリティを強化しながら日々増加する脅威に向き合うことは並大抵の努力と投資では賄いきれません。。また、セキュリティを強化したとしても認証にパスしない限り客観性を保てないだけでなく、認証取得を前向きに進めるとしても多額のコストとリソースを費やす必要があるでしょう。Office 365は、それらの監査のパスしているため裏を返せば安全と言えるのではないでしょうか。
SaaSは、セキュリティ面だけでなく、コアビジネスへの集中と事業の俊敏性を図る上で大きなメリットであることは周知の事実です。この機会にOffice 365の導入を検討してみてはいかがでしょうか。