SaaSの落とし穴!情シスはバックアップを忘れずに
メール、ストレージ、グループウェアなど、数多くのビジネスアプリケーションがクラウド上で利用できるようになりました。しかし、SaaSのデータ保全は利用者に責任があることをご存知でしたか? クラウド上のデータ消失などのトラブルを防ぐためにも、今回はSaaSのバックアップについて考えてみましょう。
なお、このnoteは主に中堅・中小規模の企業の新任情シスや兼任情シス向けの内容です。SaaS、IaaS、PaaSなどクラウドの違いについて不安がある方は下記記事も参考にしてください。
1.SaaS上のデータは「クラウド事業者がバックアップしてくれている」と勘違いしていませんか?
多くの企業が今、クラウド化を推進し、フルクラウド化している企業も1割を超えるようになりました。今後のシステム導入・移行時にも「クラウド以降を優先・前提」とする企業も42%に上っています(※)。もはやクラウド利用が当たり前のようになっている中で、見落としがちなテーマがあります。それは、SaaS上のデータのバックアップ問題です。
「SaaSの良い点は社内にデータを持たなくて良い点ではないか?」、「運用などはすべてクラウドベンダーにお任せではないのか?」と考えて、SaaSデータのバックアップがおろそかになっているとしたら、実はそれはとても危険なことです。
多くの企業は今、SaaSで様々なアプリケーションを利用しています。メールやグループウェアなどは、利用者としてはSaaSであると意識しなくても日常的に用いているのではないでしょうか。一例として、Microsoft 365 や Google Workspace などは代表的なSaaSの1つです。ほかにも、Zoomなどのビデオ会議サービス、Slackなどのチャットサービス、Salesforceなどの営業支援ツール、Freee会計など経理向けサービスというように、数え上げるときりがありません。そして重要なのが、これらSaaSのデータを保全する責任はクラウド事業者側にはないことです。この点について、事項で詳しく述べていきましょう。
2.クラウド事業者と利用者で「責任を共有する」という考え方
SaaS上にあるデータをなぜ利用者が保全しなければならないのでしょうか。それは、「クラウド事業者と利用者は協力してクラウドサービスに対する責任を共有する必要がある」という考え方を多くのクラウド事業者が採用していることが挙げられます。その根拠について、下記の資料を読み解いていきましょう。
●責任共有モデルについて
まず、2021年に公開されたクラウドサービス事業者向けのガイドラインである総務省の「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」では、次のように記載されています。
クラウドサービスの情報セキュリティを高めるためには、クラウドサービス事業者とクラウドサービス利用者が協力して、クラウドサービスに対する責任を共有する必要がある。この責任を共有するという考え方(責任共有モデル)を多くのクラウドサービス事業者が採用している。
その後、総務省によりクラウドサービス提供者側と利用者側双方に向けた「クラウドサービス利用・提供における適切な設定のためのガイドライン(2022年10月)」が公開されました。本ガイドラインより引用すると、公開の背景には「クラウドサービスが普及する一方で、大規模な情報漏えい等のインシデントが度々発生しており、インシデントの原因の多くを利用者によるクラウドサービスの設定不備が占めている」ことが挙げられるとのこと。
さらに、「昨今のインシデントの発生を踏まえて、クラウドの利用場面、提供場面における適切な設定を促進するための対策に焦点を絞ったガイドライン」であり、「安全安心なクラウドサービスの利活用を推進していくために推奨されるセキュリティ対策を記載するもの」と位置づけています。(※太字は引用者)
ここで重要なのは、この責任共有モデルを多くのクラウド事業者が採用していることであり、利用者もまた責任を分担するという契約のもと、クラウド利用を行っているという前提があるということです。
●SaaSのどこまでが利用者の責任か?
では、「SaaSの設定に関する責任分界」について、「クラウドサービス利用・提供における適切な設定のためのガイドライン(2022年10月)」を詳しく見てみましょう。下図はSaaSにおける責任分界を示した図です。
クラウド利用者の責任範囲は「データ」と「アプリケーション管理の一部(ユーザ設定)」となります。それ以外の多くはSaaS事業者の責任範囲となっています。この図が示すように、SaaS上にユーザが入力したデータや保管したファイルなどは、すべてユーザの責任で保全しなければならないということになります。
ちなみに、SaaS、IaaS、PaaSはそれぞれ責任分界が異なりますので、気になる方はぜひ上記のガイドラインを参考にして対策を検討してみてはいかがでしょうか。
3.SaaSデータのバックアップとは?
SaaS上には数多くのビジネスに欠かせない様々なデータが保存されています。SaaS上のデータバックアップが必要になるケースについて考えてみましょう。誤操作によるデータ削除、組織変更時に対応を間違えて取り返しがつかない処理をしてしまった、退職者データをSaaSからは削除したいが保管はしておきたい、ランサムウェアなどマルウェア被害に向け対策を行いたい…など、さまざまなケースが考えられます。
SaaS上のデータをバックアップする方法としては、サードパーティのクラウド型バックアップ製品を選択することが一般的です。Microsoft 365、Google Workspace、Salesforceなど、SaaSごとにバックアップを行うクラウドサービスもありますし、マルチクラウド(SaaS)でバックアップできるサービスもありますので、自社に適したサービスを選ぶことになります。
例えば Microsoft 365 の場合、SharePoint Online、Exchange Online、OneDrive for Business、Microsoft Teams などそれぞれデータ形式も異なりますので、かつては個別にサードパーティ製品を用いてバックアップを取る必要がありました。しかし現在は、1つのサービスで包括的にバックアップを取得でき、直感的な操作、全自動でバックアップできるサービスもあります(※)。こうした便利な仕組みを利用して忘れずにバックアップを取得するようにしてはいかがでしょうか。
※SCCloud SaaS Backupの場合
おわりに
今回は、忘れられがちなSaaSのバックアップについて紹介しました。SaaSはスタートや運用も容易ですが、その便利さのみに目を向けずに、利用者の責任を理解して正しくデータ保全できる環境を構築することが重要です。
<関連情報>
また、ソフトクリエイトは「情シスレスキュー隊」にて、情シスに役立つ様々な情報を発信しています。こちらもぜひご覧いただき、情シス業務にお役立てください。