SaaSが手軽に導入・利用できるサービスだと言っても,何の準備もせずに使い始められるわけではない。例えばセキュリティ。前回紹介したアンケート調査の結果にあるように,ユーザーの7割はSaaSに対してセキュリティ面の不安を感じている。ほかにも運用体制,拡張性などチェックしておくべきポイントがある。今回はセキュリティ面と性能・信頼性について解説する。

 SaaSの導入を検討するに当たってまず調べたいことは,機能と料金だろう。ただ,それだけでは足りない。安心してサービスを利用するには,チェックしておきたい項目がほかにもある(図1)。セキュリティ,サービス・インフラの性能と信頼性,システム連携やカスタマイズなどに対応できる拡張性/柔軟性といった点だ。加えて,ユーザー自身の利用環境が,SaaSを利用できる状態になっているかどうかも重要な項目である。

図1●オンデマンド型サービスを利用する前の主なチェック・ポイント
図1●オンデマンド型サービスを利用する前の主なチェック・ポイント
利用するサービスの種類によって確認すべきチェック項目は異なる。

みずほは現地調査で300項目をチェック

 サービスのチェックに関しては,参考になる例がある。前述のみずほプライベートウェルスマネジメントだ。みずほフィナンシャルグループには,システム利用に関してグループを通じた「ITスタンダード」というポリシーがある。このITスタンダードのうち,外部のサービスを利用する場合でも満たさなければならない項目を洗い出したところ,チェック項目は「データ・センターの電源や空調の信頼性」「バックアップ対策」「情報漏えいやデータの不正利用への対策」など300個に上った(図2)。同社のセールスフォース・ドットコムの導入を支援したみずほ情報総研は,データ・センターを視察するために米国へ飛び,これらの項目についての実態を逐一チェックした。

図2●みずほ情報総研は,みずほグループが定めているセキュリティ・ガイドラインのチェック項目と,Salesforceのサービス内容を照らし合わせた結果,5項目が満たさなかった
図2●みずほ情報総研は,みずほグループが定めているセキュリティ・ガイドラインのチェック項目と,Salesforceのサービス内容を照らし合わせた結果,5項目が満たさなかった
[画像のクリックで拡大表示]

 みずほプライベートウェルスほどではないにしても,SaaSを利用するに当たっては,安全策をとる意味で,最低限のチェックはしておきたい。ここでは,重要度が高いと考えられる10項目をポイントとして挙げた。ユーザーのシステム運用ポリシーや利用するアプリケーションの種類,既存のネットワーク環境やシステム環境などによって重視するポイントは違ってくるが,概ね,この10項目に含まれるはずだ。

セキュリティ
自社のセキュリティ・ポリシーと比較する

 ユーザーが一番気になるのは,何と言ってもセキュリティだろう。前述のように,本誌が実施したアンケート調査でも,7割弱の回答者が不安要素としてセキュリティを挙げた。業務データや個人のデータを社外に置くことから,情報漏えいや不正アクセスに不安を抱いているのである。

 セキュリティに関連したチェック・ポイントは,ユーザー認証とアクセス制御,データの暗号化,そして物理的なセキュリティ強化策の3点である(図1の(1)~(3))。自社のセキュリティ・ポリシーに照らし合わせて確認しておきたい。

 例えばみずほプライベートウェルスマネジメントの場合は,セキュリティ関連では情報漏えいやシステムの不正利用,改ざんへの対策を講じているかどうかに加えて,パスワード・ポリシーやデータの暗号化ルールについても確認している。

 一例がアクセス元の制限である。みずほグループが求める要件の中には,自宅など社外からの利用を禁止するという項目が含まれている。そこで,みずほプライベートウェルスはセールスフォース・ドットコムに,接続元のIPアドレスによってアクセスを制限できるかどうかを尋ねた。もし制限できるなら,会社のプロキシ・サーバーのIPアドレスを設定しておけば,社外からの利用を禁止できる。

 結果はどうか。Salesforceではデータ・センター側で,接続できる端末のIPアドレスを制限することはできる。ただし,この機能を利用できるのは,EnterpriseとUnlimitedのユーザーに限定される。最も多くのユーザーが利用しているProfessionalでは使えない。

 アクセス元の制限については,ユーザーによって意見が分かれるところ。どこからでも利用できる点をSaaSのメリットの一つと考えるユーザーもいるだろう。その場合でも,ユーザー認証にどのような手段を利用できるか,利用する時間帯によるアクセス制限はできるかなど,確認しておきたい点はある。

 例えばみずほプライベートウェルスの場合,ITスタンダードの基準に合致しない項目があった。「パスワードの運用ルール」「暗号化の運用ルール」「アクセス・ログの保存期間」などである。ただ,基準を満たさないと言っても,ある程度の対策は講じられていた。「セールスフォースには改善の要求はしたが,短期間での対応は難しかったため,運用ルールなどでカバーすることにした」(竹内参事役)。