国民のための情報セキュリティサイト 国民のための情報セキュリティサイト
アニメの使い方更新履歴このサイトの利用方法サイトマップリンク集ダウンロードお問い合わせ
対策情報管理担当者ASP・SaaSを利用する際の情報セキュリティ対策 トップページへ戻る
「企業・組織」の情報セキュリティ対策:情報管理担当者
ウイルスからの防御
ユーザー権限とユーザー認証の管理
パスワード管理の推奨
バックアップの推奨
ソーシャルエンジニアリングの対策
サーバーの設置と管理
機器障害への対策
ハッキングによる被害と対策
社員の不正による被害
廃棄するコンピュータやメディアからの情報漏洩
情報セキュリティポリシーの導入と運用方法
持ち運び可能なノートパソコンを利用する上での危険性と対策
持ち運び可能なメディアを利用する上での危険性と対策
ASP・SaaSを利用する際の情報セキュリティ対策
SQLインジェクションへの対策
ASP・SaaSを利用する際の情報セキュリティ対策

インターネット上で稼働するASP・SaaS ASPSaaSはインターネットを通じてアプリケーションの提供を受けるサービスです。そのため、これまでのパッケージソフトおよび独自に構築していたサービスや業務システムを利用する場合と比較すると、その特性に応じた情報セキュリティ対策が要求されます。

 特に注意すべき点は、インターネット回線を利用するということ、自社のサーバー室ではなくサービスの提供者が管理するデータセンターサーバーを保管するということ、ASPSaaSサービス提供者側に運用やデータが依存されるということにあり、これらは利用者にとって情報システムの保守、運用、管理に関する負担が軽減される等のメリットがある一方で、情報セキュリティ対策がASPSaaSサービス提供者に大きく依存することになります。

 そのため、ASPSaaSを利用する際には、そのサービス提供者が主に以下のような情報セキュリティ対策を継続して適切に行っているかどうかをきちんと確認した上で選定する必要があります。

サービス提供者が行うべき主要な情報セキュリティ対策(「ASPSaaSにおける情報セキュリティ対策ガイドライン」より)
データセンターの物理的な情報セキュリティ対策(災害対策や侵入対策等)
データのバックアップ
ハードウェア機器の対策
OS、ソフトウェアの対策
OS、ソフトウェア、アプリケーションにおける脆弱性の判定と対策
不正アクセスの防止
アクセスログの管理
通信の暗号化

 これらの対策内容については、利用するサービスや業務システム機密性可用性の要求レベルによって、必要となる項目やレベルが異なります。利用するASPSaaSの内容や利用方法、そこに格納されるデータの重要性、機密性等をしっかりと検討して、十分な情報セキュリティ対策を行っている事業者やサービスを選定するようにしてください。

 なお、総務省ではASPSaaSの情報セキュリティ対策に関する研究会を開催しています。研究会に関する情報や成果物については、以下のリンクから報告書やガイドライン等を参照してください。

 また、FMMC(財団法人マルチメディア振興センター)では、「ASPSaaS サービスの安全・信頼性に係る情報開示認定制度」を運営しています。これは、ASPSaaSサービスの利用を考えている企業や団体などが事業者やサービスを比較、評価、選択する際に必要な「安全・信頼性の情報開示基準を満たしているサービス」を認定するものです。

ページ参照ASP・SaaSの情報セキュリティ対策に関する研究会 報告書等の公表及び意見募集の結果
ページ参照ASP・SaaSにおける情報セキュリティ対策ガイドライン(PDFファイル)
ページ参照ASP・SaaS情報開示認定サイト(財団法人マルチメディア振興センター)

(2009年3月作成)

国民のための情報セキュリティサイトトップへ