総務省が公表している「令和6年度版情報通信白書」によると、日本のパブリッククラウドサービス市場は高い成長を続けており、2023年には約3兆円（前年度比約26％増）になる見込みだ。このようにクラウドサービスを業務に取り入れることは一般的になりつつある。

特に、クラウド事業者が提供するソフトウェアをネットワーク経由で利用できるSaaSは、クラウドサービスの代表格であり、利用している企業は多いだろう。

SaaSの業務利用が一般的になった背景には、そのサービスの多様さが影響していると考えられる。例えばビジネスチャットやWeb会議、CRM、ERPなどの多くの従業員が利用するものから、特定の業務を担当する従業員用のものまで数多くのサービスがSaaSとして提供されている。また種類によっては低コストもしくは、無料で提供されているものもあり、経費削減や人材不足対策に取り組む企業にとっては活用しない手はないだろう。

一方、近年はビジネスでの利用拡大に伴って、SaaS特有のトラブルも散見されるようになっている。下記でトラブルの主な例とその対策を紹介する。

セキュリティトラブル

SaaSの業務利用において第一に注意すべき点はセキュリティ関連のトラブルである。多くのSaaSは、業務利用を前提とした高いセキュリティ機能があらかじめ備わっており、国や業界団体が定める基準を満たすSaaSも多く存在するため、それらを安全性の基準にして判断するのがよいだろう。

参考にすべき基準としては、ISMAP（日本国政府による情報システムのためのセキュリティ評価制度）、ISO/IEC 27001やISO/IEC 27017（国際標準化機構や国際電気標準会議によるセキュリティ基準）　を満たしている点などが挙げられる。

むしろ、SaaSのセキュリティ対策において課題とされるのは、利用者側による不適切な情報管理だ。従業員であれば誰でも、どこからでも社内の情報にアクセスできるという環境下では、パスワードやIDの漏えい、社員利用端末のマルウェア感染などによって悪意ある外部の攻撃者に不正アクセスの糸口を与えかねない。このようなセキュリティ危機を防止するためには、アクセス権限の適切な管理やパスワードの複雑化など、人為的なトラブルを防止する対策が必要である。

実際の事例として、米大手ソフトウェア企業が2024年に自社で利用するSaaSを標的とした大規模なサイバー攻撃を感知した際は、アクセス権限の見直しとパスワードスプレー攻撃（総当たり攻撃の一種）に対応した複雑なパスワードの再設定などによって被害の発生を防いでいる。同事例からも従業員にセキュリティポリシーを徹底させるなどの手段は有効である。

SaaS管理の業務負担

複数のSaaSを管理する場合、SaaSはさまざまな事業者から提供されるため、それぞれで取り扱うデータに互換性があるとも限らず、一括で管理することが困難となっている。

そこで効果を発揮するのがAPIによる連携だ。多くのSaaSは連携して管理されることを前提にWeb APIを公開しており、各APIをそれぞれのサービスで認証することによりリアルタイムなデータ連携が可能になる。ただし、SaaSごとに認証の方式が異なる場合は注意が必要だ。

主な方式としてはHTTP認証、APIキー認証、Form認証などが挙げられる。複数のSaaSを導入する際は、どのような認証方式であるかをあらかじめ確認してから選定することが必要だ。

また、複数のSaaSごとにIDやパスワードを個別管理するのが面倒だという声もある。実際、IDとパスワードは従業員数と同じ数だけ存在するため、管理負担は膨大なものとなるだろう。

このような問題に対しては、一度のユーザー認証により複数のソフトウェアのログインを可能にする仕組みであるシングルサインオン（SSO）や、パスワードレスでログインを可能にする仕組みであるパスキーなど、ログイン補助システムの積極的な活用をおすすめしたい。これらのシステムは特性上必要なパスワードの数を増やさず、認証方法によってはパスワードが不要なため、ログイン情報流出の問題を抑制する効果も期待される。

関連記事：セキュリティ強化を検討する際に知っておきたい顔認証システムが注目を集める理由

SaaSを利用することによる利便性やメリットは大きい。ネットワークに接続していれば場所を問わず利用できるSaaSは、近未来のビジネスにおいて不可欠な存在になるだろう。だからこそ、利用者は早い段階で起こりうるトラブルを把握し、対策を打てるようにしておきたい。