はじめに
こんにちはおかしんです。SaaSのSSOに関するお話がXで話題になっていたので、もう少し幅広いテーマでクラウドサービスを選定する際に考えるべきことについて書いてみました。
クラウドサービス活用の背景
近年、DX(デジタルトランスフォーメーション)推進や業務効率化の流れを受け、クラウドサービスの利用が急増しています。しかし、適切な選定基準を設けないと、導入したクラウドサービスの恩恵を十分に受けられなかったり、セキュリティリスクの増大、コストの増加、運用負荷の増大といった問題が発生する可能性があります。
本記事の目的・対象読者
本記事では、クラウドサービスの選定基準について、企業が検討すべき主要なポイントを整理します。対象読者は以下のような方々を想定しています。
- 情報システム部門 や セキュリティ部門 の担当者
- スタートアップの 経営陣 や 管理部門長
- エンタープライズ向けのクラウドサービスを開発する企業のPO, PdM
本記事を読むことで、クラウドサービス選定の際に考慮すべき重要なポイントを理解し、適切な導入・運用を行うための知見を得ることができます。
また、特にエンタープライズを対象としたクラウドサービスを開発するにあたって、顧客の情報システム・セキュリティ部門が何を求めているのか把握し、プロダクト開発に活かすことが可能になります。
この記事で書かないこと
クラウドサービスを導入する際には、システム化したいビジネスプロセスや業務プロセスがあり、それを実現できる機能が備わっているかどうかは、選定基準として当然の要素です。これを 機能要件 といいます。
機能要件を満たさないことが明らかなサービスについて、セキュリティや契約条件を細かく評価しても意味はありません。機能要件が満たされない場合は、導入検討を打ち切るべきです。(ただし、「常に機能要件の評価を先にやるべき」とは限りません。詳細は後述します。)
本記事では 機能要件に関する議論はほとんど行いません。適宜 PoC(概念実証) を行い、機能適合性を確認することを推奨します。
クラウドサービスを選定する際に確認すべきこと
クラウドサービスの選定において考慮すべき 非機能要件 とは何でしょうか?
大まかに分類すると、以下のカテゴリが挙げられます。
大まかなカテゴリ一覧
| カテゴリ | 概要 | 代表的な要素 |
|---|---|---|
| セキュリティ・コンプライアンス | データセンターの所在地を含むセキュリティ面全般、各種認証や規格への準拠状況など、リスクを抑えるための要素を確認する。 | – 認証・認可(SSO/MFA) |
| ガバナンス・リスク管理 | ログや監査機能、データ所有権、アカウント運用ルールなど、管理面での体制整備やリスク低減を目的としたチェック項目。 | – ログ・監査機能- 契約上のデータ所有権- ポリシー(権限管理・監査ルールなど) |
| コスト・契約条件 | 初期費用や運用費用、追加費用の発生可能性、契約形態やサポート費用など、費用対効果や予算管理の観点から検討する。 | – 初期費用・ランニングコスト – ボリュームディスカウントや割引 – 従量課金・固定課金などのプラン |
| 運用面・全体最適 | クラウドサービス導入後の運用負荷、サポート体制、UI/UXの利便性、組織全体の最適化を考慮する。 | – 既存サービスとの重複- UI/UX、ユーザビリティ- サポート体制 |
これらのカテゴリの優先度は 企業規模や業種によって異なります。例えば、
- 小規模企業: まずは コストが合うかどうか が最優先。ステークホルダーが少なく、攻撃リスクも低いため セキュリティ要件の優先度は下がる。
- 中規模以上の企業: ガバナンス や 全体最適 の重要性が増す。
- エンタープライズ企業: セキュリティ・リスク管理 を最優先し、情報管理やデータ主権に対する厳格な対応が求められる。
ただし、どの企業規模・業種であっても これらの要素はすべて重要な検討事項 であり、適切にバランスを取ることが求められます。以下、それぞれのカテゴリについて詳細を説明します。
セキュリティ・コンプライアンス
本来この部分だけで1つ記事がかけてしまうくらい考慮事項が多いので、代表的なものについていくつか解説します
認証・認可について
クラウドサービスはひとたび悪意の第三者にユーザーアカウントが乗っ取られてしまうと、クラウドサービスを介してやりとりされる情報が全て漏洩してしまう可能性があるため、クラウドサービスを利用する上で、認証・認可の仕組みはセキュリティを確保する最も重要な要素の一つです。不適切な認証・認可の設計は、不正アクセスや情報漏洩のリスクを引き起こす可能性があります。ここでは、クラウドサービスを選定する際に確認すべき主なポイントを解説します。
シングルサインオン(SSO)
ちょうど本日こんなポストがXで話題になっていました
なぜ、SSOが重要なのかについては私が以前書いた以下の記事が詳しいので是非ご覧ください。
なぜWebサービスの選定においてSAML/SSOが重要なのか
https://www.okash1n.works/importance-of-saml-sso-in-web-services
簡単にまとめると以下のとおりです。
- 管理工数の削減
- Webサービスごとのアカウント発行・削除の負担を軽減。
- IdPで一括管理でき、退職者のアカウント削除も即時対応可能。
- セキュリティの向上
- IdPを活用し、多要素認証や異常検知を一元管理できる。
- 個々のWebサービスのセキュリティに依存せず、安全性を確保。
- SSOに限定できることの重要性
- SAML/SSOがあっても、パスワードログインが可能だとセキュリティが弱体化。
- IdPを迂回されると、統制が効かず、セキュリティリスクが高まる。
- すべてのログインをSAML/SSOに限定することで、ガバナンスを強化し、不正アクセスを防止。
- ユーザーの利便性向上
- ID/パスワードの管理負担を軽減し、パスワードの使い回しを防ぐ。
- 一度の認証で複数のWebサービスにシームレスにアクセス可能。
多要素認証(MFA)
- MFAの必要性: パスワードのみの認証では不十分であり、追加の認証要素を求めることでセキュリティを強化。
- 代表的なMFAの種類:
- プッシュ通知と応答: Google Authenticator や Microsoft Authenticator などのアプリを利用し、プッシュ通知に対してユーザーが応答したり画面上に表示されている数字を回答するなどして認証する。
- ワンタイムパスワード(OTP): Google Authenticator や Microsoft Authenticator などのアプリを利用し、アプリに表示された6桁などのワンタイムパスワードを入力。
- ハードウェアトークン: YubiKey や FIDO2 準拠デバイスを活用。
- SMS / メール認証: 一般的だが、SIMスワップ攻撃のリスクを考慮する必要がある。
アクセス制御とロールベースアクセス制御(RBAC)
適切な権限管理が出来るかどうかは、クラウドサービスを介してやりとりされる情報へのアクセス制御に関わってきます。組織のセキュリティポリシーに準拠したアクセス制御が出来るかどうかを確認しましょう。
- 最小権限の原則(PoLP): ユーザーに必要最低限の権限のみを付与し、不必要な権限の拡大を防ぐ。
- RBACの活用: 役職や職務に応じてアクセスレベルを定義し、管理を容易にする。
- 条件付きアクセス: IPアドレス、デバイス、地理的な位置情報などをもとにアクセス可否を制御できるかを確認。
また、IdPとのSSOやプロビジョニングによって、IdP側で集中管理できる機能があるとさらに良いでしょう。
監査ログの取得
- ログの重要性: すべての認証・認可イベントが記録され、セキュリティインシデントのトラブルシューティングや内部監査に活用できるかをチェック。
- ログの保管期間とアクセス権: ログの保存期間が十分に確保されているか、管理者のみが閲覧できるような設計になっているかを確認。
組織内ポリシーとの整合性
- パスワードポリシー: 文字数、特殊文字の使用、定期変更の必要性など、組織のセキュリティポリシーと適合しているか。
- IDフェデレーションの対応: 企業内のディレクトリサービス(Active Directory, Azure ADなど)と統合できるか。
適切な認証・認可を導入することで、クラウドサービスのセキュリティリスクを低減し、利便性と安全性のバランスを取ることができます。
脆弱性対策について
クラウドサービスを選定する際には、システムの脆弱性に対する対策状況を確認することが不可欠です。脆弱なシステムは、サイバー攻撃の標的となり、情報漏洩や業務停止のリスクを高めます。OWASP Top10に入るような脆弱性に対策がなされたサービスを利用すべきです。
対策状況はOWASP Zapなどのツールを用いて、監査することもできますが、サービスへの攻撃とみなされることもある為、サービス提供元に通知や相談を行ったうえで実施すべきでしょう。
また、単にセキュリティについての質問として提供企業に質問をすることも有効です。
主要な脆弱性対策
- インジェクション攻撃防御: SQLインジェクションやクロスサイトスクリプティング(XSS)などの攻撃を防ぐために、適切な入力バリデーションやエスケープ処理が実装されているかを確認。
- セキュリティアップデート: ソフトウェアやライブラリの定期的な更新が行われているか、脆弱性報告に対する迅速なパッチ適用の仕組みが整備されているか。
- DDoS対策: 分散型サービス拒否(DDoS)攻撃に対する耐性があるか、WAF(Web Application Firewall)やレートリミットの仕組みが適用されているかをチェック。
- ゼロトラストセキュリティの導入: 内部ネットワークであってもすべての通信を検証するゼロトラストモデルの採用状況を確認。
- 脆弱性診断とペネトレーションテスト: 定期的なセキュリティ診断や第三者機関による侵入テストが行われているか。
影響を最小限にする仕組み
- セキュリティインシデント対応体制: インシデント発生時の対応手順、影響範囲の特定、復旧計画が策定されているか。
- ログ監視とアラート機能: 不正アクセスや異常動作を検知するための監視システムが導入されているか。
適切な脆弱性対策を講じることで、クラウドサービスの安全性を高め、セキュリティインシデントのリスクを軽減できます。
ロケーション問題について
クラウドサービスを利用する際には、データセンターの所在地やサービス提供企業の拠点がどこにあるかを確認することが重要です。特定の国や地域では、データの取り扱いや政府によるアクセス制限が異なり、リスクが伴うことがあります。
確認すべきポイント
- データセンターの所在地: データがどの国・地域に保存されるのかを明確にし、特定の法規制に抵触しないかを確認。
- 政府のデータアクセス権限: 中国やロシアなど、一部の国では政府機関が法的にデータへアクセス可能な仕組みが存在するため、原則的に利用すべきではありません。
- データ主権(Data Sovereignty): GDPR(EU一般データ保護規則)や国内の個人情報保護法に準拠したデータの取り扱いが行われているか。
- リージョン選択の可否: クラウドベンダーが提供するリージョン選択オプションを活用し、データを国内または特定の地域に限定できるかを確認。
ロケーション選定の戦略
- 高リスク地域の回避: 中国やロシアなど政府の介入リスクが高い地域へのデータ保存を避ける。また、ウクライナやイスラエル等の紛争地域の企業のサービスは安定的にサービス提供されない可能性が高い為避けた方が良いでしょう。
- マルチリージョン対応: 災害時や障害発生時に備え、複数のリージョンにデータを分散。
ロケーション問題を適切に評価することで、法的リスクを軽減し、データの安全性を確保できます。
認証取得状況について
クラウドサービスを利用する際は、ベンダーが取得しているセキュリティ認証を確認することで、信頼性を判断する重要な指標となります。
代表的なセキュリティ認証
- ISO 27001: 情報セキュリティ管理の国際標準規格。
- SOC 2(Service Organization Control 2): データの安全性や可用性、プライバシーに関する監査基準。
- PCI DSS(Payment Card Industry Data Security Standard): クレジットカード情報を扱うシステムに求められるセキュリティ基準。
- FedRAMP(Federal Risk and Authorization Management Program): 米国政府向けクラウドサービスに求められる認証。
認証が示すもの
- 第三者監査の有無: これらの認証を取得している場合、独立した第三者機関によるセキュリティ監査が行われている証拠となる。
- コンプライアンス要件への適合: 企業の業界規制や内部ポリシーに準拠しているかを評価する指標となる。
セキュリティ認証の有無を確認することで、サービスの信頼性を客観的に判断し、導入リスクを抑えることができます。
ガバナンス・リスク管理
クラウドサービスを導入する際には、組織全体のITガバナンスやリスク管理の観点から評価する必要があります。
主要なチェックポイント
- 監査ログの取得と活用: すべての操作履歴を記録し、異常検知や不正アクセスの追跡が可能か。
- データ所有権と移行の自由度: クラウド上のデータの所有権が利用者にあるか、他のサービスへ移行する際にデータのエクスポートが容易にできるか。
- 内部統制とコンプライアンス対応: 企業の内部統制ポリシーや業界規制に適合した運用が可能か。
コスト・契約条件
クラウドサービスの導入に際し、コストと契約条件を慎重に検討することが重要です。初期投資だけでなく、ランニングコストや追加費用、契約の柔軟性を評価し、長期的に見たコスト最適化を図る必要があります。
初期費用・ランニングコスト
- 初期費用: 導入時に発生する初期セットアップ費用やライセンス購入費用を確認。
- 月額・年額コスト: サブスクリプション型か買い切り型かを把握し、組織の予算と合うプランを選択。
- ユーザー数・利用量に応じた変動: ユーザー数の増減やデータ使用量によって費用が変動するモデルが多いため、スケールアップ・スケールダウン時のコストシミュレーションを実施。
ボリュームディスカウント・割引
- 長期契約による割引が適用されるかを確認(年間契約 vs. 月額契約)。
- ユーザー数や使用量に応じたボリュームディスカウントがあるかを確認。
- 契約期間中の料金変更の可能性や、その条件を把握。
従量課金・固定課金
- 従量課金モデル: 実際の利用量に応じて課金されるため、小規模利用時のコストを抑えやすいが、急な利用増で費用が高騰するリスクがある。
- 固定課金モデル: 毎月一定のコストで利用可能だが、未使用分も課金されるためリソース配分を最適化する必要がある。
- ハイブリッドモデル: 基本料金+従量課金の組み合わせが提供されている場合があるため、利用パターンに応じて選択。
サポートプランと追加費用
- 無償サポートと有償サポートの違いを確認。
- SLA(サービス品質保証): ダウンタイム時の補償やサポート対応の迅速性をチェック。
- 追加機能・アドオンコスト: 標準プランに含まれない機能(セキュリティ強化、データバックアップ等)の追加費用が発生する場合があるため事前に確認。
解約条件・契約の柔軟性
- 途中解約時の違約金や解約猶予期間を確認。
- 契約更新の条件(自動更新か手動更新か)。
- 他のクラウドサービスへの移行(データエクスポートや互換性)のしやすさを考慮。
代理店経由か直販か
- 代理店経由のメリット: 日本市場向けのサポートや価格交渉がしやすく、追加サービスが提供されることがある。また、海外のサービスの場合、代理店経由の方が費用を抑えられる傾向があり、為替の影響を受けにくいというメリットもある。
- 代理店経由のデメリット: 代理店に対する発注手続き(見積書のやり取り、押印、発注書の送付など)が必要になり、さらにライセンス追加時に数日かかるケースがある。
- 直販のメリット: ベンダーと直接契約することで、柔軟にライセンスの増減が可能であったり、最新のオプションや機能を代理店経由よりも迅速に調達できる可能性がある。
- 直販のデメリット: 代理店経由に比べてコスト面で割高になる傾向がある。
- サポートの違い: 代理店経由では、ローカライズされたサポートが受けられる場合があるが、対応のスピードや質を事前に確認する必要がある。また、直販の場合、ベンダー側のサポート体制が整っているかを慎重に見極めることが求められる。
運用面・全体最適
クラウドサービスは導入して終わりではなく、長期的な運用のしやすさも重要な要素となります。
運用面での考慮事項
- 既存システムとの統合: 他のクラウドサービスやオンプレミス環境との連携がスムーズに行えるか。
- ユーザビリティとトレーニング: 社員が直感的に利用できるか、利用者向けの教育プログラムが整備されているか。
- サポート体制: 問題発生時に迅速な対応が可能なサポートが提供されているか。
情報システム部門は現場からのサービス導入要求にどう向き合えば良いか
クラウドサービス導入の際には、現場からの要望を適切に受け入れながらも、セキュリティや運用負荷を考慮し、組織全体の最適化を図る必要があります。
導入基準を設ける
これまで解説した様々な観点を盛り込んだルールやガイドラインを整備するとともに、全社に対して周知や研修などを行いましょう。どういった考えのもとサービスを禁止したり許可していたりするのかを組織全体に開示することで、現場との軋轢を減らし、従業員のリテラシー向上やひいては情報システム部門の信頼向上、仕事の進めやすさにつながります。
ただし、導入基準を設ける際には極力例外が発生しないような粒度にしましょう。あまりに厳しかったり、チェック工数が高すぎる基準は例外が多く発生し意味をなしません。
従業員がセルフチェックできるような仕組みを整える
基準を設けたら、サービス提供企業にその基準を満たしているかどうかを確認するための質問テンプレートなどを作成し、従業員がセルフチェックできるようにしましょう
基準、セルフチェックの仕組みと連動した導入申請
基準やセルフチェックのと連動する導入申請を設け、かつその結果が導入サービス一覧となるような仕組みを作ることで、運用や監査がしやすくなります。
まとめ
クラウドサービスを導入する際には、単に機能要件を満たすだけでなく、非機能要件を十分に考慮することが極めて重要です。本記事では、クラウドサービス選定において確認すべき主要なポイントを解説しました。
まず、コスト・契約条件 では、初期費用やランニングコスト、課金モデル、ボリュームディスカウント、解約条件、代理店経由か直販かといった要素を考慮し、長期的なコスト最適化を図ることの重要性を強調しました。
次に、セキュリティ・コンプライアンス については、認証・認可(SSO・MFA)、脆弱性対策、データセンターのロケーション、各種セキュリティ認証の取得状況を確認することが必要です。特に、SSOを適切に設定し、パスワードログインを無効化することで、認証の統制を強化し、ガバナンスの維持が可能になります。
また、ガバナンス・リスク管理 の観点では、監査ログの取得と活用、データ所有権の確認、ポリシーとの整合性を確保することで、リスクを最小限に抑え、内部統制を強化することが求められます。
最後に、運用面・全体最適 では、既存システムとの統合、ユーザビリティ、サポート体制の整備が必要不可欠であり、導入後の運用負荷を最小限に抑えるための体制構築が欠かせません。
クラウドサービスの選定は一度きりのプロセスではなく、導入後の運用や継続的な最適化も視野に入れる必要があります。情報システム部門やセキュリティ部門は、現場からの要望を適切に取り入れつつ、リスク管理を徹底しながらクラウドサービスを活用することが求められます。
また、クラウドサービスを提供する開発企業にとっても、エンタープライズ企業の求める要件を理解し、それに応じた機能やセキュリティ対策、料金体系を設計することが、市場競争力の向上につながります。
本記事で紹介した選定基準を活用し、各組織の要件に最適なクラウドサービスを選び、適切な運用・管理を行うことで、安全かつ効果的なクラウド活用を実現しましょう。各選定基準を総合的に考慮し、自社に最適なクラウドサービスを選定することが重要です。
