SaaS利用契約で見るべき「情報セキュリティ」の注意点【IT弁護士が解説】
SaaSは導入がしやすく、運用の負荷を軽減できるとしてさまざまなビジネスで利用される。頻繁にアップデートされ、常に最新のサービスを利用できる点はメリットだが、契約の際は情報セキュリティの観点で注意すべき3つのポイントがある。
本記事は2022年1月28日のBUSINESS LAWYERS掲載記事をキーマンズネット編集部が一部編集の上、転載したものです。
Q:当社では、クラウドサービス(SaaS)の利用を検討しているのですが、情報セキュリティの観点から、どのような点に留意すればよいのでしょうか。
A: 情報セキュリティの3要素(機密性、完全性および可用性)を総合的に考慮し、3要素のバランスを取ることが重要です。その際には、機密性を重視し過ぎて、3要素のバランスを失することがないようにすることに留意が必要です。利用するクラウドサービス(SaaS)において、クラウド事業者に送信し、利用などを行うデータの重要性、機密性などを踏まえて、必要なSLA(Service Level Agreement;サービス品質に対する利用者側の要求水準と提供者側の運営ルールについて明文化したもの)の内容を規定することが重要となります。
解説
- 情報セキュリティ
- 情報セキュリティの3要素とクラウドサービス(SaaS)との関係
- 機密性
- 完全性
- 可用性
- 情報セキュリティを踏まえたクラウドサービス(SaaS)の選択
- サービス更新にあわせ利用者がとるべき対応に関する留意点
- まとめ
情報セキュリティ
情報セキュリティとは、「情報の機密性、完全性及び可用性を維持すること」をいいます※1。
情報セキュリティについては、相対的に「機密性」のイメージが強く持たれている場合が多いように思われます。しかし、情報セキュリティを高めるためには、情報セキュリティの3要素(機密性、完全性および可用性)を総合的に考慮して、バランスを取ることが重要となります。
情報セキュリティの3要素とクラウドサービス(SaaS)との関係
以下では、情報セキュリティの3要素(機密性、完全性および可用性)とクラウドサービス(SaaS)との関係について説明します。
機密性
機密性とは、「認可されていない個人、エンティティ又はプロセスに対して、情報を使用不可又は非公開にする特性」をいいます※2。
クラウドサービス(SaaS)では、インターネットを介してデータが送信されます。そのため、パッケージソフトウェアを購入して自社で使用し、インターネットを用いない場合と比較すれば、一定のリスクがあるといえます。
しかし、現在は、多くの企業が出張先などからアクセスすることができるシステムを採用しており、また近時、急速に普及したテレワークでは、インターネットを介して自社システムへのアクセスを行っていることを考慮すると、インターネットを介したデータの送受信は、企業が利用するシステム全般において行われており、クラウドサービス(SaaS)に特有のものではないといえます。
クラウドサービス(SaaS)は、多くの場合、サービスを利用する各社ごとに1台のサーバを使用するのではなく、複数のサービス利用者がサーバを使用するマルチテナント方式で運営されています。そして、この点について、自社の情報が他のサービス利用者に漏えいしてしまわないか不安であるとの指摘があるようです。
しかしながら、各利用者間のデータが正確に読みだされるか否かは、物理的にどのサーバに保存されているかではなく、どのサーバにデータがあるかというラベリングが正確になされているかによります。そのため、クラウドサービス(SaaS)がマルチテナント方式で運営されているケースが多いことは、クラウドサービス(SaaS)に特有な機密性に関するリスクではないといえます。
完全性
完全性とは、「正確さ及び完全さの特性」をいいます※3。
一般的に、サーバに保存されているデータは、クラッシュなどによって消失することがあるため、完全性を高めるために、バックアップを取るのが一般的です。そして、一般的に、企業が自らバックアップを行うよりも、クラウド事業者がバックアップを行う方が効率的であり、また、バックアップに関するミスやトラブルが発生する可能性も低いと思われます。そのため、クラウドサービス(SaaS)を利用することにより完全性におけるリスクを低減することができるといえます。
特に、地理的に離れた複数のデータセンターでデータを保管する方法によれば、地震などの局所的な災害が発生した場合にもデータが失われず、速やかにクラウドサービス(SaaS)の利用を再開することができますので、クラウドサービス(SaaS)において重要なデータや、頻繁に利用するデータを取り扱う場合には、検討するべき方法であるといえます。
可用性
可用性とは、「認可されたエンティティが要求したときに、アクセス及び使用が可能である特性」をいいます※4。
クラウドサービス(SaaS)では、インターネットを介してデータを送信するため、インターネットの利用に伴うアクセス不能や、データ遅延などの事象が生じ得ます。この点、クラウド事業者は、緊急時に対応することが可能な高度なスキルを有する人員を一定程度は確保していることが多いといえます。一方、企業では、人件費の観点から、緊急時を想定した場合に必要な人員を常時確保しておくことは困難です。そのため、クラウドサービス(SaaS)を利用することにより、企業は可用性におけるリスクを低減することができるといえます。
また、クラウドサービス(SaaS)の可用性については、クラウドサービス(SaaS)の契約終了後の事業継続性に留意が必要です。より具体的には、クラウドサービス(SaaS)利用契約の終了時に、クラウドサービス(SaaS)事業者からデータを受領できる旨の条項を規定することが必要であり、特に、受領するデータのデータ形式を、汎用性が高いデータ形式(または、汎用性が高いデータ形式と互換性のあるデータ形式)とすることにより、別のクラウドサービス(SaaS)や自社システムへの移行を行いやすくすることが重要となります(詳細は、「事業継続のためにチェックすべきクラウドサービス(SaaS)利用契約の4つのポイント」をご参照ください)。
情報セキュリティを踏まえたクラウドサービス(SaaS)の選択
クラウドサービス(SaaS)に求める品質について検討する上では、SLAが重要となります。SLAとは、提供されるサービスの範囲・内容・前提事項を踏まえたうえで「サービス品質に対する利用者側の要求水準と提供者側の運営ルールについて明文化したもの」をいい、多くの場合、契約文書の一部、または、独立した文書として締結されます※5。
クラウドサービス(SaaS)の品質が高い方が利用者に望ましいものの、高い品質を求めるほど、利用料金が高くなっていくことになります。そのため、クラウドサービス(SaaS)に求める品質のレベルについては、情報セキュリティの3要素のバランス、および、クラウド事業者に送信し、利用などを行うデータの重要性、機密性などを踏まえて、利用料金とのバランスを考慮して決めることが必要です。
そして、この検討を進める上では、情報システム部門が主体となって対応する必要がありますが、SLAは契約内容の一部であることに加えて、SLAの内容は、情報漏えいなどの法的リスク、損害賠償の内容などと関連するため、法務部門と連携して進める必要があるといえます。
情報セキュリティの3要素と、SLAの主な項目の関係は以下の通りです。
情報セキュリティの3要素と、SLAの主な項目
| 情報セキュリティ | SLAの主な項目 |
|---|---|
| 機密性 | 通信の暗号化、ログの取得 |
| 完全性 | データのバックアップ方法、バックアップデータの取得頻度 |
| 可用性 | 稼働保証※6、同時アクセス数 |
※SLAの主な項目の内容については、「クラウドサービス(SaaS)の利用契約においてSLAとして規定すべき項目と留意点」をご参照ください。
サービス更新にあわせ利用者がとるべき対応に関する留意点
クラウドサービス(SaaS)では、利用者の手を煩わせることなく、事業者側で、機能追加、バージョンアップなどのサービスの更新を行うことができます。そのため、クラウドサービス(SaaS)では、一般的に、利用者が頻繁にサービスの更新を受けることができるというメリットが存在します。
しかし、事業者が行う頻繁なサービス更新について、利用者側で適切な対応を行わないと、情報セキュリティに問題が生じることがあります。実際、クラウド事業者が行ったサービス更新に関する利用者による対応が不十分であったために、意図せずに、秘密とすべき情報が外部から自由に閲覧できる状態になってしまっていたという事案が発生しています※7。
そこで、利用者としては、クラウド事業者から提供される情報などに基づき、サービス更新に伴い利用者側で対応すべき点について、適時、かつ、適切に対応することが重要となります。
また、クラウドサービス(SaaS)を選択する際に、サービス更新への利用者の対応についてサポートが充実しているサービスや、利用者が対応すべき点について丁寧な情報提供を行っているクラウドサービス(SaaS)を選択することも考えられます。
まとめ
クラウドサービス(SaaS)を利用する際には、クラウド事業者に送信し、利用などを行うデータの重要性、機密性などを踏まえて、情報セキュリティの観点から必要なSLAの内容を規定することが重要となります。
情報セキュリティの検討においては、情報セキュリティの3要素(機密性、完全性および可用性)を総合的に考慮し、3要素のバランスを取ることが重要になります。特に、機密性を重視し過ぎて、3要素のバランスを失することがないように留意することが必要です。
また、クラウド事業者が行う頻繁なサービス更新への対応が不十分であることにより情報セキュリティに問題が生じることがないように、クラウドサービス(SaaS)のサービス更新に、適時、かつ、適切に対応する必要があります。
編集部注
※1:総務省「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」(2021年9月)33頁
※2:総務省「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」(2021年9月)31頁
※3:総務省「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」(2021年9月)30頁
※4:総務省「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」(2021年9月)30頁
※5:経済産業省「SaaS向けSLAガイドライン」(2008年1月21日)20頁
※6:稼働保証については、稼働保証が満たされなかった場合には、実質的な利用料金の減額がなされるに過ぎない場合が多いが、クラウドサービス(SaaS)の可用性を判断するうえで一応の参考にはなるといえる。
※7:「クラウドサービスを利用するにあたってのリスクに対する認識度合いによっては、機能の追加や改修などのバージョンアップ等の頻度が多いクラウドサービス特有のリスクへの対応が疎かになり、情報セキュリティ管理が不十分になりがちである。クラウドサービスのセキュリティに関する設定が十分でなかったために、意図せず、クラウドサービスで管理している機密情報を無認証状態で外部に公開してしまい、機密情報を漏洩させてしまった事例が相次いで報告されている」とされている(総務省「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」(2021年9月)22頁)。
本記事は2022年1月28日掲載のBUSINESS LAWYERS「クラウドサービス(SaaS)利用契約における情報セキュリティに関する留意点」をキーマンズネット編集部が一部編集の上、転載したものです。
濱野敏彦弁護士 西村あさひ法律事務所 東京事務所
理系の大学・大学院の3年間、AIの基礎技術であるニューラルネットワーク(今のディープラーニング)の研究室に所属し、プログラミング等を行っていたため、AI技術に詳しい。理系のバックグラウンドを活かし、知的財産関連訴訟(特許侵害訴訟、職務発明訴訟、営業秘密侵害訴訟等)、ソフトウェア関連訴訟、知的財産全般、個人情報保護、AI、データ、クラウド、システム、ソフトウェア、量子コンピュータ、テレワーク、情報セキュリティ、OSS、危機管理、コーポレートガバナンス等の分野の法的助言を専門とする。
© BUSINESS LAWYERS
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。
- TeamsとZoomのシェア事情、ビデオ会議の人気再燃……Web会議トレンドの裏側
- DX推進組織がこぞってNotionを採用する理由【実践者が語る導入の舞台裏】
- 2月のTeamsアプデは「欲しかったあの機能」がめじろ押し【M365月例更新まとめ】
- Copilot for Microsoft 365をどう使う? 使ってみたから分かるおススメの利用例
- 「雨の日しかWi-Fiが使えない」 原因は意外なアレだった:755th Lap
- SSDの基礎技術、導入時のポイント、故障の前兆を徹底解説
- すかいらーくが10年来のレガシーシステムを4カ月で刷新できた理由
- 「ログイン処理、癖が強い……」Microsoft 365プラン別に見る課題まとめ
- 多要素認証はこうして突破される 5大攻撃手法と防御策
- KDDIが基幹システムを刷新 同社が選んだ新システムは?
編集部からのお知らせ
ITmediaはアイティメディア株式会社の登録商標です。