openpage代表取締役の藤島です。SaaS/クラウドサービスが普及し、自社の製品を大手企業に向けて営業するシーンも増えてきました。
大手企業のIT製品導入に求められるセキュリティ機能について、営業担当や事業開発担当はキャッチアップをする必要があります。
この記事では、SaaS、クラウド事業者を想定とし、「大手企業向け営業(エンタープライズセールス)に必要となるセキュリティ対応まとめ」と題して、大手企業向けIT製品に求められるセキュリティ機能を一覧化しました。
事業開発だけではなく、プロダクト開発者・プロダクトマネージャーの観点でもお役に立てるはずです。
▼大手企業向けのセキュリティ対応一覧
・パスワードポリシー
・2段階認証/多要素認証(MFA)
・IPアドレス制限
・SSO(シングルサインオン)
・アカウント権限
・ファイル共有の承認
・アクセスログ
・データ保持期間/削除ポリシー
・Salesforce連携(ただしIpaaSではなくSalesforceのセキュリティ審査が通ったAppExchange推奨)
大手企業向けのセキュリティ対応①:パスワードポリシー
パスワードを英字/小文字大文字/記号を加えたものにする、8桁以上にする、X回以上の入力間違いがあったらロックがかかるといった、パスワードのポリシーについて、大手企業では高い水準を求められます。
パスワードの制限を厳しくすることで不要なログインを防ぎ、顧客情報の流出を防ぐ機能が必要です。
大手企業向けのセキュリティ対応②:2段階認証/多要素認証(MFA)
SaaS/クラウド製品はログインすると顧客情報を確認することが出来るため、パスワードポリシー同様、ログインについての制限が必要です。
わかりやすいのは「2段階認証」で、ログインしようとするとメールで認証が求められる機能です。
より厳しいセキュリティを実装する場合は「多要素認証」と呼ばれる、別端末での認証を行う(PCでログインしようとするとスマホでのパスコード認証が必要となる)機能も求められます。
大手企業向けのセキュリティ対応③:IPアドレス制限
不正ログインを防ぐさらなる方法として、そもそもログインをする際には特定のIPアドレスからしかアクセス出来ないようにする「IPアドレス制限」の機能実装があります。
オフィスのみでしか使わないツールはIPアドレス制限、外出時に使うツールは他要素認証のように必要なセキュリティ機能を使い分けることもあります。
大手企業向けのセキュリティ対応④:SSO(シングル・サインオン)
そもそもMicrosoft365やGoogle Workspaceを職場のクラウド環境として用いている場合は、普段使いのMicrosoftやGoogleのアカウントのみからログイン出来るようにしたい、というSSO(シングル・サインオン)の機能もセキュリティ上求められます
大手企業向けのセキュリティ対応⑤:アカウント権限
仮にログインが出来たとして、不用意に個人情報にアクセスしたり、不正な操作をしたりということを企業をとしては避けたいです。
そのため、アカウントに権限(閲覧・編集・書き込みなど)の設計出来るようにし、権限ごとにどこまで作業が出来るかを制限することが求められます。
大手企業向けのセキュリティ対応⑥:ファイル共有の承認
仮に適正な方法でログインしているとして、従業員の操作ミスによって重要な情報を流出させてしまうというセキュリティリスクが存在します。
それを防ぐために、情報共有を外部に行う際には承認制にする、ということも求められることがあります。
大手企業向けのセキュリティ対応⑦:アクセスログ
不正なアクセスや不正操作がないか確認を取れるようにするため、アクセスや操作のログを蓄積し、チェック出来るようにするという機能が求められます。
大手企業向けのセキュリティ対応⑧:データ保持期間/削除ポリシー
SaaS/クラウドサービス上に保存されているデータは、今後どの程度の期間まで保持されるのか。仮に解約した場合のデータ削除のポリシーがどうなっているのか。
これは製品機能というよりは規約やルールの整備が必要です。
大手企業向けのセキュリティ対応⑨:Salesforce連携(ただしIpaaSではなくSalesforceのセキュリティ審査が通ったAppExchange推奨)
大手企業のSFA/CRM環境として最も導入されているツールの1つがSalesforceであり、Salesforceとのデータ連携を求められることがあります。
製品同士のデータ連携はIPaaSが便利なため、IPaaSでの接続で進める方法があるのですが、大手企業のセキュリティレベルによってはSalesforceの公式アプリであるAppExchangeのものしか接続方法として受け付けないケースが存在します。
AppExchangeはアプリ申請時にSalesforce米国本社のセキュリティ承認を行うため、これを採用するほうがよりセキュリティレベルの高い連携方法となります。
