テレビや週刊誌は，先週から「有害物質入り中国産ギョーザ」の話題で持ち切りとなっている。2008年2月6日現在，「残留農薬にしては有害物質の濃度が高すぎる」「食品会社に恨みを持つ何者かが，有害物質をギョーザの打ち粉に混入させたのでは」などいくつかの説が取り沙汰されているが，真相はいまだ謎に包まれている。1日も早く原因が明らかになり，有効な対策が打ち出されることを願いたい。

　さて，こういう前フリの後で心苦しいのだが，このニュースを聞いたとき，記者はSaaS（Software as a Service），あるいは最近話題のクラウド・コンピューティングのことを思い出してしまった。

　先週開催されたITpro EXPO 2008でも，SaaSに関連した多数の展示や講演があった。SaaSを企業情報システムに取り入れて，必要な機能を短期間かつ低コストで実現することは，いまや当たり前になりつつある。

　しかし，ちょっと待てよ，とも思う。SaaSはアプリケーションの機能を「サービス」としてユーザーに提供する。どのような仕組みで機能が実装されているか，詳細な情報が明かされることはあまりない。仮に明かされたとしても，その情報が本当かどうかユーザーは確認できない。

　これは，ギョーザなどの加工食品とちょっと似たところがあるのではないだろうか。ユーザー（消費者）は，ベンダー（生産者）の情報を信頼して，中身を知らないままサービス（商品）を購入し，利用する。こうした状況で，あるSaaSベンダーで機密情報の漏えい，あるいは大規模なシステムダウンが起きたらどうなるだろうか。おそらく，その1社以外の良質なSaaSベンダーまでが疑いの目で見られ，企業はSaaS採用に二の足を踏むようになってしまうだろう。ちょうど今，外食産業や流通チェーンで中国産加工食品の取り扱いを中止する動きがあるように。

ガイドライン作成に着手する総務省と経済産業省

　そしてもう1つ，SaaSの提供および利用に関する，厳しい規制やガイドラインが公的機関から打ち出されてくる可能性がある。特に，個人情報の漏えい対策には，ユーザー企業とベンダーの双方に細かい指導がなされるだろう。実際，ITproで連載中の「個人情報漏えい事件を斬る」の第123回でも紹介したように，総務省や経済産業省はすでにSaaS向けセキュリティガイドラインの策定に着手している。

　総務省では2007年に「ASP・SaaSの情報セキュリティ対策に関する研究会」が発足した。同研究会の検討結果は2007年12月，「ASP・SaaSの情報セキュリティ対策に関する研究会報告書（案）」及び「ASP・SaaSにおける情報セキュリティ対策ガイドライン（案）」としてまとめられた。

　経済産業省も2008年1月，「SaaS向けSLAガイドライン」を発表した。その中には，ユーザー企業がSaaSベンダーを選択するとき「安全性検証の観点から，JIS Q 27001:2006（ISO/IEC 27001:2005）24の要求事項を基本としたセキュリティ対策の実施状況を確認することが重要である。更に，ウェブアプリケーションの脆弱性検査，サイトのペネトレーションテスト25（又は検査）等、第三者による安全性検証試験／セキュリティ診断を定期的に実施し，結果を顧客に対して公開していることを前提条件として考えるべき」とある。JIS Q 27001:2006（ISO/IEC 27001:2005）とは，ISMS（情報セキュリティマネジメントシステム）の標準規格である。

　私たちの食生活は，いまや加工食品の存在を抜きには考えられなくなっている。SaaSやクラウド・コンピューティングも同じように，情報システムの構成要素として，数年のうちに欠かすことのできない存在になる可能性が高い。だが，経済産業省のガイドラインが示す前提条件を，現時点でどれくらいのSaaSベンダーがきちんと実行しているのだろうか。さらに，ベンダーが前提条件をきちんと履行しているかどうかを，ユーザー企業が確実にチェックする仕組みを作り上げるためには，どれぐらいのコストがかかるのだろうか。

　不幸にもSaaSベンダーからの機密情報漏えいが発生して規制が強化されたとき，それら“安全性”を担保するコストが現実的な範囲に収まるかどうかが，SaaS／クラウド・コンピューティングの普及に大きな影響を与えるだろう。