サイバー攻撃対策

SaaSビジネス事業者が着目すべき
セキュリティのポイント

法人のお客さまに起こりがちな状況

SaaSビジネスを展開する企業において重要なのは、サービスのフロント部分のビジネスロジックと同時に、バックエンドのインフラ構成でもあります。

いくらビジネスロジックが素晴らしいものであっても、たとえばサーバが2日に一度ダウンしたり、情報漏えいが発生したりしてしまうのであれば利用継続には至らないからです。

だからこそ、スケーラビリティに優れセキュリティがしっかりしているAmazon Web Services(AWS)やMicrosoft Azure(Azure)、Google Cloud Platform(GCP)などが人気になっていますが、はたしてそれだけで対策は十分と言えるでしょうか?

今回はSaaSビジネスを中心とした、クラウドサーバを利用してサービスを展開している企業に向けた、情報セキュリティ面で着目すべき点をいくつかお伝えします。

責任共有モデルの中身をしっかりと把握すべき

情報セキュリティの観点では、AWSが責任共有モデルを適用しているように、無制限にレンタルサーバ/クラウドサーバ側が準備してくれるわけではありません。

契約内容次第にはなりますが、例えばAmazon EC2の場合、ユーザーは必要なすべてのセキュリティ構成および管理のタスクを行う必要があり、OSの更新やセキュリティパッチの適用や、AWSが提供するセキュリティグループファイアウォールの設定に対する責任と管理などを担う必要があります。

逆に、いわゆるPlatform as a Service(PaaS)の場合はAWS はインフラ、OS、およびプラットフォームを運用するのに対し、ユーザーはエンドポイントにアクセスしてデータの管理、アセットの分類、IAM ツールでの適切な権限の適用についてのみ責任を負うことになります。

自身の契約内容によって、クラウドサービス事業者との責任範囲が異なるためどこまでが自身の責任で対応しておくべき内容かをきちんと把握しておく必要があります。

※2020年5月時点の情報です。詳細は以下よりご確認ください。
https://aws.amazon.com/jp/compliance/shared-responsibility-model/

スケールした時のセキュリティは即座に対応

BtoCのSaaSビジネスを例にとると、いわゆる「バズる」ことによって、突如としてアクセス数や利用者数が増加するケースがあります。

通常の10倍や100倍のアクセス数に増えるケースでは、サーバが重くなって表示されず、送受信されるはずのデータがロストし、最悪の場合はサーバが落ちてしまったりします。

その際、本来得られるはずだった利益を取り逃すばかりではなく、ユーザーからすれば「使えないサービス」の烙印を押されてしまうことさえあります。

だからこそサービス提供者側としては、サーバのスケールアップを即座に行わなくてはならず、同時に、これに対応できる即時のインスタンス立ち上げが可能な点がクラウドサーバの利点といえる一方、このようなケースではビジネスの機会損失を出さないようにするため、まずは「サービス利用者を受け止めること」が第一目的になってしまい、セキュリティレベルの維持や運用の効率化は後回しにされてしまいがちといえます。

そして、サービス提供者が混乱している状況こそ、悪意を持った人間にとって大きな機会といえます。

できれば事前に、インスタンス増加に伴うオペレーション手順として情報セキュリティ面でのスケーリング対応についても検討を行っておくのが望ましいと言えるでしょう。

網羅性について確認を行う

SaaSビジネスを開発する際は、WEBサーバ、アプリケーションサーバ、DBサーバなど機能ごとにサーバを分けておく場合が多いといえます。

こうした場合、OSの更新やセキュリティパッチを適用した際に全体に適用されず部分的な適用となってしまうケースが発生しがちです。

また、トラブル対応を行った際にパッチワークで対応してしまった結果、それぞれの情報セキュリティレベルに差異が発生してしまい、思わぬセキュリティホールができてしまう可能性もあります。

できればこうした抜け漏れを防ぐため、情報セキュリティの観点からいえば、各サーバを統合管理できる体制を構築することが推奨されます。

さらには、現在サーバに施している情報セキュリティ対策が、どこまで機能しているかも定期的に確認することをおすすめします。

たとえば既知の脆弱性については、パッチをあてるなどして対応できていたとしても、未知の脆弱性を利用する「ゼロデイ攻撃」に対しては、正規パッチがリリースされていないため、セキュリティレベルは保証されないままです。

このような、既知の脅威だけでなく、未知の脅威に対しても対応できるような機能が近年のセキュリティ対策としては求められています。

何よりも事業の根幹としてセキュリティの多層化を

SaaSビジネスを行う上で、サーバ、そしてそこに置かれるソフトウェアは、まさにビジネスの根幹となる要素です。

そのセキュリティについて、AWSやGCPなどのクラウドサーバ事業者から提供された「単一の」セキュリティだけに頼ることは、事業リスクを非常に低く見積もっていることになってしまいます。

インフラはあって当たり前の世界ではありますが、同時になくてはならない土台として崩れないような踏み固めもしっかり行っていくべき分野でもあります。

インフラを担当している方は、その重要性を再度認識し、セキュリティの体制について一度見直してみてください。

トレンドマイクロからのアドバイス

SaaS事業者がサービスに集中するためには「オールインワン」のセキュリティ機能と「柔軟かつシンプルな管理体制」が必要です。

トレンドマイクロでは物理環境、仮想化環境をはじめ、マルチクラウド(AWS,Auzre,GCP)を一元管理でき、クラウド環境にも最適なセキュリティを実装できるTrend Micro Cloud One - Workload Securityをご提供しています。

サーバ保護に必要な機能をオールインワン

ネットワーク層からOS、アプリケーションレイヤーまでを網羅したセキュリティ機能を実装。

サーバの多層防御を実現し今存在している脅威からサーバを守る他、AI技術を用いた機械学習型検索により、未知の脅威への対策を強化することができます。

多様なサーバ環境×統一したセキュリティを実現できる

物理・仮想・クラウドなど、多様なサーバ環境はもちろん、Dockerコンテナ環境に対応しており、それらすべてに統一したセキュリティを提供することが可能です。

また、単一の一元管理されたクラウド型ソフトウェアで総合的な保護を提供し、複数ソフトウェア利用の必要性とこれに伴うコストを削減することも。

SaaSビジネスの開発を行いながらセキュリティ体制構築に対する課題を抱えている事業者の方はぜひ一度ご相談ください。

この課題を解決する製品

導入前の製品や購入に
関するお問い合わせ
ご担当者様の課題解決を電話やメールで受け付けます。
製品や購入に関するご不明点がある方はお気軽にご相談ください。

導入前の製品や購入に関する
お問い合わせ

オンライン見積り
トレンドマイクロのセキュリティ対策製品のお見積りを
オンラインでご確認いただけます。

オンライン見積り