Software as a Service（SaaS）のデータセキュリティ

SaaSプロバイダーへの質問

データセキュリティについて、SaaSプロバイダーにどのような質問をすべきか把握していますか？SaaSプロバイダーにアップロードするデータには、個人を特定できる情報（PII）が含まれていますか？また、あなたの業界では、SaaSアプリケーションにまでコンプライアンスが及ぶデータセキュリティに関する指令が存在しますか？

暗号化鍵を自社で管理していますか？

SaaSプロバイダーがデータの暗号化を保証している場合でも、依然として次のような重要項目について質問する必要があります。

• 顧客ごとに一意の暗号化鍵が使用されるのか？
• SaaSプロバイダーでは鍵の管理手順が確立されているのか？鍵の紛失リスクはあるのか？
• データ用の鍵は自社で制御できるのか？

これらの質問は、セキュリティのベストプラクティスを表しています。詳細については、Cloud Security Allianceのクラウドコントロールマトリックスをご覧ください。

SaaS環境でのデータコンプライアンス

忘れられがちですが、データが存在する場所にかかわらず、ユーザーはデータプライバシーと保護に関する指令の遵守に対して責任を負います。そのため、SaaSソリューションの導入を検討する際は、SaaSプロバイダーが、貴社のデータセンターで採用しているものと同一の制御を提供できることをご確認ください。お使いのSaaSプロバイダーがそのような制御を提供できない場合は、提供することができる他のプロバイダーをお選びください。

タレスのCipherTrust Transparent Encryption (CT:透過的暗号化)

CipherTrust Transparent Encryption (CT:透過的暗号化)を使用することで、SaaSプロバイダーは保存データの暗号化にまでサービスを拡張し、貴社のデータ保護要件を満たすことができます。また、CT (透過的暗号化) により、アプリケーション、データベース、インフラストラクチャを再設計することなく、保存データの暗号化、特権ユーザーのアクセス制御、セキュリティインテリジェンスのログ収集を実行することができます。TeenSafeの成功例をぜひご覧ください。

CipherTrust Cloud Key Manager (CCKM:クラウド鍵管理)

SaaSプロバイダーには、暗号化によって顧客データを保護する責任があります。また、SaaSプロバイダーは業界のベストプラクティスに従い、顧客によるデータ暗号鍵の制御を可能にする必要があります。Bring Your Own Key (BYOK）サービスを提供するSaaSプロバイダーは、ユーザーがCipherTrust Cloud Key Manager (CCKM:クラウド鍵管理)を利用して、重要な鍵管理に関する指令に準拠できるようサポートします。データ暗号鍵を自社で制御できるよう、お使いのSaaSプロバイダーに依頼ください。

SaaSのデータセキュリティについて学ぶための業界のベストプラクティスリソース

クラウドのベストプラクティス、特にSaaS、データセキュリティ、鍵管理について当社の言葉を信じるだけではいけません。Cloud Security AllianceのLinkedInグループにぜひご参加ください。SaaSプロバイダーにCloud Security Allianceのコンセンサス評価イニシアチブアンケートを渡し、SaaSプロバイダーのセキュリティ製品をしっかりと比較できるようにしましょう。

安心感を提供

データ保護と自社での制御を可能にする適切なSaaSプロバイダーを選択することで、安心にして眠りにつき、自身を持ってコンプライアンス準拠を達成することができます。

コンプライアンスがSaaSクラウドにまで及ぶことを保証

SaaSの購入者として、あなたには選択肢があります。コンセンサス評価イニシアチブアンケートを使用することで、データのコンプライアンス指令が、SaaSクラウドにまで及ぶことを保証するツールを提供するSaaSプロバイダーのみを特定し、選択することができます。

自社制御を実現

包括的なキーマネジメントを提供するCipherTrust Transparent Encryption (CT:透過的暗号化) であっても、サービスとしてのキーマネジメントあっても、SaaSプロバイダーはタレスと提携することで、ユーザーがSaaSクラウド内のデータを自社で制御できるよう保証します。