SaaSプラットフォームを評価するための究極のセキュリティチェックリスト(上級編)

mo4ma
25.03.26 04:18 PM - コメント

今日のSaaS環境において、セキュリティはもはや技術的な最重要事項です。導入に際してソフトウェアに明記されているセキュリティ機能やコンプライアンスについて、常に注意深く、かつ十分な知識を持つ必要があります。

ガートナーの「2025年ソフトウェア購入トレンド調査」では、セキュリティ脅威の管理と防止を主要なビジネス課題として挙げるユーザーの数は、前年比で46%増加しました。セキュリティ脆弱性の軽減は、ソフトウェア購入における最重要課題となっています。


今回、膨大な情報の中から必要な情報を見つけ出すために、包括的なSaaSセキュリティチェックリストを作成しました。アワード管理ソフトウェアであろうと、その他のクラウドプラットフォームであろうと、このリソースを活用することで、必要なサイバーセキュリティ機能、専門用語の意味、そしてSaaSベンダーを、自信を持って評価する方法を理解することができます。

究極のSaaSセキュリティチェックリスト

プラットフォームを評価する際には、以下のチェックリストを実用的な枠組みとして活用してください。

1. データ暗号化

注目点

暗号化は、データが送信中およびデータストアに保存されている間、権限のない第三者によるデータの読み取りからデータを保護します。
  • 通信中の暗号化:システム間でやり取りされるすべてのデータは、TLS 1.2以上(現在の標準規格はTLS 1.3)を使用して保護する必要があります。すべてのページとやり取りにおいてHTTPSが使用されていることを確認してください。
  • 保存データの暗号化:プラットフォームのデータベースおよびストレージサービスに保存されるデータも暗号化する必要があります。AES-256は業界標準です。
  • 証明書の完全性:SHA-256で署名された証明書は、さらなる保証層を提供します。

重要点

暗号化されていないデータは転送中に傍受される危険性があります。保存されている暗号化されていないデータは、情報漏洩によって公開される可能性があります。機密性の高い提出物、個人情報、または商業的に機密性の高い情報を扱うプラットフォームにとって、どちらも容認できない事態です。

Award Forceは、TLS 1.3とAES-256ビット暗号化、SHA-256署名付き証明書を使用して、転送中のすべてのデータを保護します。

2. アクセス制御とユーザー権限

注目点

堅牢なロールベースアクセス制御(RBAC)システムは、各ユーザーが許可された範囲の情報のみを閲覧・実行でき、それ以上の権限は付与されないことを保証します。
  • きめ細かく設定可能なユーザーロール(例:管理者、マネージャー、審査員、参加者)
  • 役割に基づいて特定のデータ、モジュール、または機能へのアクセスを制限する機能
  • 誰がいつ何にアクセスしたかを記録する監査証跡
  • FTPなどの安全性の低いプロトコルによるアクセスは禁止されています。

重要点

過度に寛容なアクセス権限は、内部データ漏洩の最も一般的な原因の一つです。意図的か否かにかかわらず、ユーザーが自分の権限範囲外のデータにアクセスするリスクは、信頼だけに頼るのではなく、設計段階で最小限に抑えるべきです。役割と権限を設定する際には、「知る必要性」の原則を考慮することが重要です。

Award Forceは、ユーザーの役割と権限に関する詳細な制御をします。

3. 多要素認証(MFA)

注目点

MFAは、パスワードに加えて、モバイルデバイスに送信されるワンタイムコードや認証アプリによって生成されるコードなど、2層目の本人確認手段を追加するものです。
  • すべてのユーザータイプでMFAが利用可能です。
  • 組織全体で多要素認証を強制するオプション
  • 標準的な認証アプリ(例:Google Authenticator、Microsoft Authenticator)に対応

重要点

パスワードはフィッシング、クレデンシャルスタッフィング、データ漏洩などによって日常的に侵害されています。多要素認証(MFA)は、パスワードが盗まれた場合でも、不正アクセスのリスクを大幅に軽減します。

Award Forceは、ガバナンス、リスク、および管理:表彰プログラムにおける統合的な安全対策が可能です。

4. インフラストラクチャとホスティングのセキュリティ

注目点

データの保存場所と、そのインフラストラクチャのセキュリティ対策は非常に重要です。
  • 評判の良いエンタープライズグレードのプロバイダー(例:Amazon Web Services、Microsoft Azure、Google Cloud)でホスティングする
  • 仮想プライベートクラウド(VPC)内に保護されたサーバー
  • サーバーアクセスには、SSHキーベースの認証(パスワードは使用しない)を使用します。
  • VPN経由でアクセスを制御できるのは、許可されたスタッフのみです。
  • 明確なデータ所在地オプション:データがどの国または地域に保存されているかを知っておく必要があります。

重要点

クラウドインフラストラクチャのセキュリティは基盤となるものです。適切に設計されたエンタープライズグレードのクラウド環境上に構築されたプラットフォームは、高度なセキュリティ制御を継承します。同様に重要なのはデータの所在地です。GDPR、CCPA、オーストラリアのプライバシー原則などの規制は、データの保存場所を規定しています。

Award Forceのデータ所在地の要件です。

5.認証および独立監査

マーケティング上の主張が検証されるか、あるいは暴露されるのはまさにこの場面です。信頼できるサイバーセキュリティ認証は、独立した第三者機関による検証を必要とし、単に自己申告するだけでは不十分です。

取得を求めるべき重要な資格

  • ISO 27001 ― 情報セキュリティマネジメントシステムに関する国際的に認められた規格。組織のセキュリティポリシー、プロセス、および管理体制について、包括的な内部監査と外部監査を実施することを義務付けている。
  • SOC 2 タイプ II ― 米国公認会計士協会(AICPA)が定める基準で、プラットフォームのセキュリティ、可用性、機密性を一定期間(通常6~12ヶ月)にわたって監査します。タイプ II は、単一時点での統制のみを評価するタイプ I よりも厳格です。
  • サイバーエッセンシャルズとは、英国政府が支援する認証制度で、国家サイバーセキュリティセンター(NCSC)が監督しています。この認証は、組織が基本的なサイバーセキュリティ対策を実施していることを証明するもので、毎年再評価を受ける必要があります。
  • PCI DSS(ペイメントカード業界データセキュリティ基準)。クレジットカード決済を処理するすべてのプラットフォームに義務付けられています。最新の認証証明書を請求してください。
  • HIPAA(米国医療保険の携行性と説明責任に関する法律)。プラットフォームが健康関連の個人データを取り扱う場合に適用されます。署名済みのビジネスアソシエイト契約(BAA)を確認してください。

アドバイス

ベンダーが認証を取得しているかどうかを尋ねるだけでなく、証明書を見せてもらいましょう。信頼できるベンダーは、セキュリティページや信頼性ページにダウンロード可能な証明書を公開しています。もしベンダーが証明書を提供できない、あるいは提供しようとしない場合は、要注意です。また、ベンダーがISOやSOC2認証を取得していると主張していても、実際にはその認証を取得しているのはホスティングパートナー(AWS、Azureなど)である場合にも注意が必要です。

Award Forceは、ISO 27001、SOC 2 Type II、Cyber Essentials、PCI DSS、HIPAA準拠など、上記のすべての認証を取得しており、それぞれダウンロード可能な証明書が付属しています。トラストセンターをご覧ください。

6. プライバシー法遵守

注意点

ユーザーの所在地によっては、組織は1つまたは複数のデータプライバシー規制の対象となる場合があります。
  • GDPR(一般データ保護規則)— EUまたは英国の個人の個人データを処理するすべての組織に適用されます。
  • CCPA(カリフォルニア州消費者プライバシー法)— カリフォルニア州居住者のデータを扱う組織に適用されます。
  • LGPD (Lei Geral de Proteção de Dados) — ブラジルのデータ保護法
  • APP(オーストラリアプライバシー原則)—オーストラリアの連邦プライバシー枠組み
  • 公表されたデータ保護補足条項(DPA)または同等の契約上の約束
  • サブプロセッサの一覧

重要点

ほとんどのプライバシー保護法規において、お客様に代わって個人データを処理するベンダーは、お客様のデータ処理者となります。この関係は正式な契約によって規定されなければなりません。ベンダーがデータ処理契約(DPA)を作成できない場合、お客様のコンプライアンス義務をサポートする体制が整っていない可能性が高いです。

Award ForceのGDPR機能です。

7. パスワードポリシーと認証情報のセキュリティ

注意点

多要素認証(MFA)を導入した場合でも、適切なパスワード管理は依然として重要な防御策です。
  • パスワードの最小文字数制限が適用されます(12文字以上が推奨されます)。
  • パスワードは一方向ハッシュを使用して保存されます。つまり、元のパスワードは読み取ったり復元したりすることはできません。
  • 平文パスワードは保存されません
  • 安全なパスワードリセットメカニズム

重要点

脆弱なパスワードや不適切なパスワード管理は、SaaSの侵害において最も悪用される脆弱性の1つです。ベンダーの認証情報管理への取り組み方は、そのベンダーのセキュリティ文化全体の厳格さを反映しています。

8. 脆弱性テストと侵入テスト

注目点

セキュリティは一度達成すれば終わりというものではなく、継続的な警戒が必要です。
  • 定期的な自動セキュリティスキャン
  • 定期的なリスク評価
  • 攻撃者が脆弱性を発見する前に、第三者による侵入テスト(ペネトレーションテスト)を実施して脆弱性を特定する。
  • 脆弱性が発見された際にパッチを適用するための明確な手順
  • 倫理的なハッカーが責任ある方法で脆弱性を開示する機会を与えるための脆弱性開示プログラム

重要点

IBMのデータ侵害コストレポートは、侵害を迅速に特定し封じ込める組織は、コストが大幅に低いことを一貫して示しています。定期的なテストとパッチ適用に尽力するベンダーは、事後対応型ではなく、事前対応型のセキュリティ対策を実践していることを示しています。

9. インシデント対応と情報漏洩通知

注目点

最も安全なプラットフォームであっても、インシデント発生のリスクはゼロではありません。重要なのは、ベンダーがどれだけ迅速かつ透明性をもって対応するかです。
  • 文書化されたインシデント対応計画
  • セキュリティインシデントまたはデータ侵害が発生した場合、アカウント保有者に即座に通知します。
  • あらゆるインシデントの性質、範囲、および解決策に関する透明性のあるコミュニケーション
  • リアルタイムのシステム稼働状況を表示する公開ステータスページ
  • インシデント対応訓練およびテストの実施方法。

重要点

GDPR(一般データ保護規則)に基づき、組織はデータ侵害が発生した場合、72時間以内に関係する監督機関に通知しなければなりません。ベンダーのデータ侵害通知プロセスは、この義務を果たす能力に直接影響します。具体的に、「私のデータに影響を与える侵害が発生した場合、どれくらいの速さで私に通知し、どのような情報を提供しますか?」と質問してください。

10. 決済セキュリティ

確認点

プラットフォームが有料のエントリー、登録、または何らかの取引を取り扱う場合、決済セキュリティには特に注意が必要です。
  • 信頼できる第三者決済ゲートウェイ(例:Stripe、PayPal)との連携
  • プラットフォーム独自のデータベースにはクレジットカード情報は保存されません。
  • 最新のPCI DSS認証証明書

重要点

カードデータの保存は重大なリスクを伴います。最も安全な方法は、プラットフォームが決済情報を認証済みの決済ゲートウェイに直接送信し、決して保存しないことです。この点が確実に守られていることを確認してください。

11. 監査ログと透明性

確認点

監査ログとは、プラットフォーム内で実行された操作をタイムスタンプ付きで記録した、改ざん不可能な文書です。説明責任、コンプライアンス、およびインシデント調査に不可欠です。
  • プラットフォーム全体にわたる包括的で改ざん不可能な監査証跡
  • ログを適切な期間保持する
  • 管理者はほぼリアルタイムでアクセス可能

重要点

紛争、セキュリティインシデント、コンプライアンス審査などが発生した場合、監査ログは検証可能な証拠となります。特に、審査結果の正当性が精査される可能性のある表彰制度においては、完全な監査証跡は強力な信頼性確保の仕組みとしても機能します。

Award Forceで利用できる監査ログです。

12. データバックアップと復旧

注目点

回復力はセキュリティと同様に重要です。プラットフォームは、ハードウェア障害、誤削除、ランサムウェア攻撃などから迅速に復旧できる必要があります。
  • 定期的な自動データバックアップ
  • 暗号化されたバックアップは地理的に離れた場所に保存されます。
  • 文書化された復旧時間目標(RTO)および復旧時点目標(RPO)
  • 定期的にテストされた修復手順

重要点

SaaSアプリケーションのサイバーセキュリティは、侵害の防止と事業継続性の確保の両方に役立ちます。ミッションクリティカルなスケジュールで進行する表彰プログラムでは、数日間のダウンタイムは許容できません。

13. 安全な統合とAPIセキュリティ

注意点

最新のSaaSプラットフォームのほとんどは、APIや統合機能を通じて他のツールと接続します。それぞれの接続は潜在的な攻撃対象となります。
  • 利用可能なサードパーティ統合およびサブプロセッサーのリスト
  • APIへのアクセスは認証トークンによって制御され、オープンアクセスではありません。
  • 統合セキュリティの定期的な見直しと更新
  • 第三者との不必要なデータ共有は行いません

重要点

プラットフォーム単体では非常に安全であっても、セキュリティ対策が不十分な連携によってデータが漏洩する可能性があります。ベンダーに対し、サードパーティとの接続がどのように認証され、監査されているかを確認するよう依頼してください。

クイックリファレンス:SaaSセキュリティチェックリスト(比較・評価用)

No.セキュリティ領域評価ポイント(質問)確認すべき基準・要件
1データ暗号化転送中・保存中のデータは暗号化されているかTLS 1.2以上(推奨:TLS 1.3)、AES 256
 2データ暗号化証明書の署名方式は安全かSHA 256署名証明書
 3アクセス制御ロールベースアクセス制御(RBAC)があるか役割別権限、最小権限の原則
 4アクセス制御操作履歴を確認できるか監査ログ(誰が・いつ・何をしたか)
 5認証多要素認証(MFA)に対応しているか全ユーザーで利用可能、強制設定可
 6認証標準的な認証アプリに対応しているかGoogle / Microsoft Authenticator等
 7インフラ信頼できるクラウド基盤で運用されているかAWS / Azure / GCP 等
 8インフラサーバーアクセスは安全に制御されているかSSHキー認証、VPN制御
 9インフラデータ保存場所を把握できるか
国・地域の明示、選択可否
 10第三者認証 ISO 27001を取得しているか有効な証明書の提示
 11第三者認証 SOC 2 Type IIを取得しているか
期間監査済みであること
 12第三者認証 PCI DSSに準拠しているか決済を扱う場合は必須
 13
プライバシーGDPR等の法規制に対応しているかGDPR / CCPA / LGPD / APP
 14プライバシーDPA(データ処理契約)が用意されているか公開または契約可能
 15パスワード管理パスワード要件は十分か12文字以上、ハッシュ化保存
 16脆弱性管理定期的な脆弱性テストを実施しているか自動スキャン+第三者テスト
 17脆弱性管理脆弱性開示プロセスがあるか責任ある開示プログラム
 18ンシデント対応インシデント対応計画は文書化されているか明確な手順と体制
 19ンシデント対応侵害時の通知は迅速か72時間以内通知(GDPR目安)
 20決済セキュリティカード情報を自社で保存していないかStripe / PayPal 等を利用
 21監査ログログは改ざん不可で保持されているか保持期間・管理者閲覧可
 22バックアップ定期的なバックアップがあるか自動化・暗号化・地理分散
 23復旧体制RTO / RPOが定義されているか文書化・定期テスト
 24API / 連携APIアクセスは安全に制御されているか認証トークン方式
 25API / 連携サブプロセッサは開示されているか一覧公開・定期見直し

アワード管理ソフトウェアの評価を検討中で、Award Forceがどの程度優れているかを確認したい場合は、セキュリティページにアクセスして、当社が取得しているすべての認証を確認し、関連資料をダウンロードしてください。

オリジナルblogはこちら

mo4ma