SaaSベンダー自身の
セキュリティは万全か？

　SaaS（Software as a Service）／クラウド・サービスの導入を検討するユーザー企業の多くが、リスクを考慮せずに話を進めようとする。一方、セキュリティ専門家は、そうしたユーザー企業を引き留め、さまざまな提言を行う。ベンダーに勤務する彼らがそのような行為に及ぶのは、言うまでもなく自社を売り込むためだ。

　「このことに特に問題があるわけではない」と、Cloud Security Allianceの共同創設者であり、Electronic ArtsやRobert Half InternationalなどでCISO（最高情報セキュリティ責任者）を務めた経験を持つニルス・プルマン（Nils Puhlmann）氏は語る。「問題なのは、ベンダーが自社のSaaS／クラウド・サービスにおいて、セキュリティや信頼性を十分に考慮していないケースがあることだ」と同氏。

　CSO米国版編集部は、SaaS／クラウド・サービスの提供に際して重大な間違いを起こしたある大手セキュリティ・ベンダーの事例について、ブルマン氏から連絡を受けた。問題解決に協力している同氏は、社名を伏せるという条件でその事例について話してくれた。

サービス提供に際して
ベンダーが犯した過ち

　ブルマン氏によれば、その大手セキュリティ・ベンダー（ここでは仮にA社としよう）は、「自社のSaaS／クラウド・サービスの新バージョンをロールアウトする際に、大きな過ちを犯した」という。結果として、ユーザーが多大な損害をこうむることになったとのことだ。

　以下に、A社が犯した過ちを5つに整理して紹介していく。この件についてブルマン氏が話してくれる目的は、他のセキュリティ・ベンダーが同様の事態を避けるように注意を促すこと、そしてユーザーが安全なSaaS／クラウド・サービスを選択するための指針を示すことである。

1. バージョンアップを通知しない

　あるとき、A社はSaaS／クラウド・サービスのバージョンアップを実施した。このことが、以前からそのサービスを利用していたあるユーザーに不測の事態を招くことになった。バージョンアップ以降、そのユーザーが管理対象として追加する新たなエンドポイントには、既存のエンドポイントで利用しているバージョンではなく、新バージョンが適用されるようになったのである。

　バージョンアップについて何も知らされないまま、そのユーザーは複数のバージョンが混在する環境の管理を強いられることになったわけだ。これがオンプレミス・ソフトウェアであれば、ユーザー側でバージョンアップを実施するかどうかを決めることができる。「だが、今回のケースでは、A社が事前にバージョンアップを通知することを怠ったため、ユーザーには打つ手がなかったのだ」（ブルマン氏）

2. ロールバック・オプションを提供しない

　複数バージョンのセキュリティ機能が混在するようになった結果、そのユーザーのIT環境は重要な機能がフリーズしかねない状態になった。通常であれば、ここでIT部門がなすべきことは、新バージョンのアンインストールと自社で安定稼働が確認されているバージョンの再インストールであろう。

　だが、SaaS／クラウド・サービスでは、問題はそれほど簡単ではない。特に今回のケースは、A社がロールバック・オプションを用意していなかった。つまり、「バージョンが混在する環境の管理を強いられたうえ、それを元に戻すこともできない」（プルマン氏）という状態に陥ったのだ。