セキュリティの確認漏れは、導入後に取り返せない

なぜセキュリティは「後から」では遅いのか

操作性やコストは、導入後に多少の不満があっても運用でカバーできます。しかしセキュリティだけは、導入後に問題が発覚しても後戻りができません。すでに社内データはそのSaaSに蓄積されており、乗り換えには情報漏えいリスクの再評価とデータ移行が必要になるからです。

中小企業でも他人事ではありません。取引先からセキュリティチェックシートの提出を求められ、利用中のSaaSが要件を満たせず商談自体が止まる——というケースは年々増えています。大手企業との取引では、自社が使うツールのセキュリティ水準がそのまま取引条件になることもあります。

とはいえ、専任の情報システム担当がいない組織で、ベンダーのセキュリティを完璧に監査するのは現実的ではありません。重要なのは、少ない工数で重大リスクを見抜ける「確認ポイントの型」を持つことです。このガイドでは、それを4つの領域に整理して解説します。

領域①：認証・アクセス制御

不正アクセスの大半は、認証の弱さを突かれて起こります。確認すべきはこの5点です。

多要素認証（MFA）に対応しているか——パスワード単体の認証は、もはや安全とは言えません。MFA対応は必須条件と考えるべきです。標準機能か有償オプションかも確認しましょう。

SSO（シングルサインオン）に対応しているか——Google WorkspaceやMicrosoft Entra IDとのSSO連携ができれば、退職者のアカウント消し忘れという最大級のリスクを構造的に防げます。SAML対応が上位プラン限定のSaaSが多いため、TCO計算にも影響します。

IPアドレス制限・デバイス制限ができるか——社外ネットワークからのアクセスを制御したい場合は必須です。

権限設定の粒度は十分か——「全員が管理者」という運用は事故のもとです。閲覧のみ・編集可・管理者など、役割に応じた最小権限を設定できるかを確認します。

監査ログが取得できるか——「誰が・いつ・何をしたか」の記録は、インシデント発生時の調査だけでなく、取引先からのセキュリティ監査対応でも求められます。ログの保存期間とエクスポート可否まで確認しておくと万全です。

領域②：データ保護と保管場所

自社の業務データを預ける以上、「どこに・どう保管されるか」は契約前に必ず確認します。

通信と保存データの暗号化——通信のTLS化は今や当然として、保存データ（at rest）の暗号化まで明記されているかを見ます。セキュリティホワイトペーパーを公開しているベンダーは、この点を必ず記載しています。

データセンターの所在地——個人情報を扱う場合、データの保管場所が国内か海外かは、個人情報保護法の越境移転規制に関わります。海外リージョンの場合、移転先国の名称と保護措置の説明が必要になるため、保管場所を明示できないベンダーは要注意です。

バックアップと復旧体制——障害時のデータ復旧について、RPO（どの時点まで戻れるか）とRTO（復旧までの時間）の目安が示されているか。また、ユーザー側の誤削除をベンダーが復元してくれるかは、運用上意外と重要なポイントです。

解約時のデータ取り扱い——解約後にデータが完全削除されるまでの期間と、削除前にエクスポートできる形式を確認します。「データはお返しできません」というベンダーは論外です。

領域③④：第三者認証と契約・運用体制

自社でベンダーの内部体制を監査することはできません。そこで頼りになるのが第三者認証です。

ISMS（ISO/IEC 27001）——情報セキュリティ管理体制の国際規格。国内SaaSベンダーの標準的な取得認証で、最低限のラインと考えてよいでしょう。

SOC 2——セキュリティ・可用性などに関する内部統制の監査報告書。米国系SaaSで主流ですが、国内でも取得が増えています。Type 2（一定期間の運用状況を監査）の方が信頼性は高いです。

ISMAP——日本政府のクラウドサービス認定制度。官公庁・自治体との取引があるなら必須要件になることがあります。

プライバシーマーク——個人情報の取り扱いに特化した国内認証です。

契約面では、SLA（稼働率保証）の有無と水準、インシデント発生時の通知義務と期限、再委託先の管理を利用規約で確認します。また、過去に重大なセキュリティインシデントを起こしていないか、起こした場合に情報公開が誠実だったかは、ベンダーの体質を測る重要な手がかりです。社名と「障害」「情報漏えい」で検索するだけでも多くのことが分かります。

セキュリティを評価軸として比較に組み込む

ここまでの確認項目は、「セキュリティ」という評価軸の採点基準としてそのまま使えます。たとえば「MFA・SSO対応＋ISMS/SOC 2取得＋国内データ保管＝5点」「MFAのみ対応・認証なし＝2点」のように、自社の要件に合わせた採点ルールを決めれば、候補間のセキュリティ水準を定量比較できます。

DecideNowでは、セキュリティを評価軸の一つとして登録し、重みづけで自社のリスク許容度を反映できます。顧客の個人情報を扱うサービスならセキュリティの重みを30〜40%に、社内限定の業務ツールなら15%程度に——という調整が一画面で完結します。

比較結果はPDFレポートとして出力でき、「セキュリティ要件の充足度を含めた総合評価」として稟議や取引先への説明に活用できます。セキュリティは専門家だけのものではありません。確認の型と比較の仕組みがあれば、どんなチームでも根拠ある判断ができます。