SaaS (Software-as-a-Service) は、IT 部門がアプリケーションを構築して実行するために必要な手間、時間、費用をかけずに必要なアプリケーションを入手する方法として、事業部門の担当者に販売されます。
しかし、既製の SaaS はビジネスに多大なメリットをもたらしますが、SaaS をうまく活用するには、SaaS ベンダーが販売していない補助ツールが必要です。
The Register は、SaaS を適切に実行するために何が必要かを調査し、おそらく必要なツールには次のようなものがあると考えるに至りました。
バックアップは、ベンダーがダウンすることのない超冗長データ センターを約束していることを考えると、SaaS ショッピング リストの中では奇妙な項目に思えるかもしれません。
SaaSバックアップは、これらの約束が正しいことを前提としていますが、SaaSオペレーターの偶発的なミス、そしてさらに重要な点として、有効なログインを持つユーザーによる偶発的または悪意のあるデータ削除から保護することを目的としています。世界中のセキュリティ対策をもってしても、適切な権限を持つ人物による不正行為を阻止することはできません。そのため、SaaSバックアップはSaaSデータを別のクラウドにミラーリングします。
データ損失防止(DLP)データがオンプレミスでもSaaSアプリケーションでも、悪意のある第三者の手に渡らないようにする必要があります。ほとんどのSaaSアプリケーションには、機密データが未知の相手にメールで送信されたり、リムーバブルストレージメディアに保存されたり、その他の方法で持ち出されたりしないようデータを監視する技術であるDLPがネイティブに搭載されていません。DLPはオンプレミスのセキュリティ技術の標準となり、SaaSユーザーにとって当然の選択肢となっています。
コンテキスト認識型セキュリティあなたがロンドンで働いており、ある午後、既知の有効な IP アドレスで最後にログインしてから数時間後、誰かが東ヨーロッパから認識されない IP アドレスを使用してあなたの SaaS アカウントにログインしたと想像してください。
東ヨーロッパに飛行機で行き、ホテルからログインするというのは十分に考えられます。しかし、普段の職場よりも信頼性が低いとされる場所からログインする場合、システムが追加の認証要素を求めるのも全く理にかなっています。
ガートナー社のアナリスト、スティーブ・ライリー氏は、DLP ルールもこのような変更を認識する必要があると考えています。そうすれば、東ヨーロッパのホテルの部屋にあなたがいない場合は、その部屋から契約書を読むことはできないでしょう。
クラウド アクセス サービス ブローカー (CASB)ここで、複数の SaaS アプリケーションを使用しており、前述のコンテキスト依存のログオンと DLP ポリシーをそれらすべてに実装する必要があると想像してください。
複数のSaaSプラットフォームの詳細を学ぶことは、SaaSを導入する際に事業部門の担当者が求めるものではありません。幸いなことに、CASBは複数のSaaSアプリケーションにわたるポリシー実装に対応できます。CASBをセキュリティ対策リストに加え、予算に組み込んでください。
相互接続サービスユーザーはソフトウェアの使用時にわずかな遅延さえも嫌う傾向があり、これはSaaSでも変わりません。自社ネットワークであれば、ユーザーエクスペリエンスをコントロールできます。しかし、SaaSはほとんどの場合、パブリックインターネットの広大な領域を経由する必要があります…EquinixやDigital Realtyのようなサービスが、ユーザーとお気に入りのSaaSアプリケーション間の高速接続を提供する相互接続サービスに料金を支払わない限りは。
モバイル デバイス管理SaaS を導入する大きな理由の 1 つは、ほとんどのアプリケーションが初日からモバイル デバイスですぐに実行できることです。
これは素晴らしいことですが、あなたやチームメンバーが携帯電話を紛失した場合、多くの貴重なデータへの入り口となることを意味します。モバイルデバイス管理(MDM)ツールを使用すると、SaaSアクセスでデバイスを消去できます。
これも素晴らしいことですが、BYOD(個人所有デバイスの持ち込み)には、誰も失いたくない家族の写真がたくさんあることに気付くまではそうではありません。
そのため、MDMはもはや時代遅れとみなされ、エンタープライズ・モビリティ・マネジメント(EMM)が普及しつつあります。EMMはMDMを改良したもので、電話の中に電話を内蔵することで、BYODユーザーが特別なセキュアゾーンからSaaSにアクセスできるようにします。電話が紛失したり、従業員が不正行為をしたりした場合でも、そのゾーンを消去すれば、従業員の楽しいスナップ写真はそのまま残すことができます。
SaaS ベンダーはこれについて説明してくれるでしょうか?
この記事の冒頭で述べたように、SaaSベンダーの売り文句はスピードとシンプルさです。では、彼らは上記のようなアクセサリの有用性を認めてくれるのでしょうか?
Salesforce.comはThe Register紙に対し、「当社のすべてのお客様は、『Getting Started(導入)』プログラムからスタートします。これはビジネスに焦点を当てた一連の取り組みであり、当社のイベントやトレーニングプログラムを補完するものです。これらのプログラムは、セキュリティやデータ管理を含む幅広いビジネスおよび技術トピックを網羅しており、ウェビナーやフォーラムなど、さまざまなチャネルを通じて提供されます」と述べています。
しかし、これらのリソースをいくつか確認してみると、少し不足しているように思えました。例えば、Salesforceのセキュリティガイドにある「増大するセキュリティ脅威を理解する」クイズの質問です。
Salesforce.comの「高まるセキュリティ脅威を理解する」クイズ
回答「A」と「B」は、SaaS について学ぼうとしている事業部門の担当者にとっては少し軽すぎるように思われ、IT プロフェッショナルからすると緊張して笑い出してしまうかもしれません。
他のベンダーはより詳細な回答を示しました。オラクルの日本およびアジア太平洋地域におけるクラウドアプリケーション開発担当副社長であるダグ・ヒューズ氏は、Big RedはSaaS導入において事業部長を支援するために「カスタマーサクセスマネージャー」と呼ばれる人材を派遣していると述べました。
ヒューズ氏は、彼らが行う重要なことの 1 つは、IT チームが早期に関与できるようにすることだと考えています。
しかし彼は、ITチームに対し、同僚がSaaSを検討しているのを見かけたら、率先して自らがどのような付加価値を提供できるかを示す必要があると警告した。人事やマーケティング担当者は、交渉が長引く可能性があるため、優秀な人材をIT部門に派遣しないという方法を学んできたと彼は述べた。したがって、IT部門はSaaSプロジェクトの存在を知った際に、関連する専門知識を示すよう努力する必要がある。
結局のところ、SaaSを正しく利用するにはクレジットカードだけでは不十分です。The Registerが相談した別のガートナー社のアナリスト、クレイグ・ローソン氏は、SaaSに加えてセキュリティ対策として「予算に10%上乗せする」ことを勧めています。また、SaaSの料金と同じように、すべてのSaaSアクセサリを毎月支払うことも勧めています。
しかし彼は、SaaSが新しいクールなものだからといって、飛びつくべきではないと警告しています。投資家がSaaSビジネスモデルに魅了されるのは当然のことだと彼は指摘します。それは、通常の2年ごとのライセンスアップグレードではなく、毎月の収益を得られるからです。そしてベンダーは、投資家とユーザーの両方を満足させる必要があることを理解しています。®
