【解説】
セキュリティSaaSベンダーが犯した5つの過ち

ユーザー企業がベンダーの怠慢に巻き込まれないために

（2009年10月28日）

今や、企業のセキュリティ対策においても、SaaS／クラウドが重要な選択肢の1つである。だが、セキュリティSaaSの選定は特に慎重に行ってほしい。本稿で紹介するように、ベンダーの怠慢からユーザー企業が多大な被害を被る可能性はゼロではないのだ。

Bill Brenner／CSO米国版

SaaSベンダー自身の
セキュリティは万全か？

　SaaS（Software as a Service）／クラウド・サービスの導入を検討するユーザー企業の多くが、リスクを考慮せずに話を進めようとする。一方、セキュリティ専門家は、そうしたユーザー企業を引き留め、さまざまな提言を行う。ベンダーに勤務する彼らがそのような行為に及ぶのは、言うまでもなく自社を売り込むためだ。

　「このことに特に問題があるわけではない」と、Cloud Security Allianceの共同創設者であり、Electronic ArtsやRobert Half InternationalなどでCISO（最高情報セキュリティ責任者）を務めた経験を持つニルス・プルマン（Nils Puhlmann）氏は語る。「問題なのは、ベンダーが自社のSaaS／クラウド・サービスにおいて、セキュリティや信頼性を十分に考慮していないケースがあることだ」と同氏。

　CSO米国版編集部は、SaaS／クラウド・サービスの提供に際して重大な間違いを起こしたある大手セキュリティ・ベンダーの事例について、ブルマン氏から連絡を受けた。問題解決に協力している同氏は、社名を伏せるという条件でその事例について話してくれた。

サービス提供に際して
ベンダーが犯した過ち

　ブルマン氏によれば、その大手セキュリティ・ベンダー（ここでは仮にA社としよう）は、「自社のSaaS／クラウド・サービスの新バージョンをロールアウトする際に、大きな過ちを犯した」という。結果として、ユーザーが多大な損害をこうむることになったとのことだ。

　以下に、A社が犯した過ちを5つに整理して紹介していく。この件についてブルマン氏が話してくれる目的は、他のセキュリティ・ベンダーが同様の事態を避けるように注意を促すこと、そしてユーザーが安全なSaaS／クラウド・サービスを選択するための指針を示すことである。

1. バージョンアップを通知しない

　あるとき、A社はSaaS／クラウド・サービスのバージョンアップを実施した。このことが、以前からそのサービスを利用していたあるユーザーに不測の事態を招くことになった。バージョンアップ以降、そのユーザーが管理対象として追加する新たなエンドポイントには、既存のエンドポイントで利用しているバージョンではなく、新バージョンが適用されるようになったのである。

　バージョンアップについて何も知らされないまま、そのユーザーは複数のバージョンが混在する環境の管理を強いられることになったわけだ。これがオンプレミス・ソフトウェアであれば、ユーザー側でバージョンアップを実施するかどうかを決めることができる。「だが、今回のケースでは、A社が事前にバージョンアップを通知することを怠ったため、ユーザーには打つ手がなかったのだ」（ブルマン氏）