自社の価値を高めるISMS認証取得ガイド|ISMS楽トル » ISMS構築におけるSaaSの有用性 » ISMS導入を検討するなら考えたいSaaSの契約とSLAについて

ISMS導入を検討するなら考えたいSaaSの契約とSLAについて

SaaSの導入が進む中、ISMS認証の運用においてもSaaSは重要な要素となります。この記事では、SaaS利用時に確認すべきSLA(サービスレベル合意書)の基本的な考え方、ISMS認証との関連、具体的な確認項目について詳しく解説します。

SLAとは何か?

SLA(サービスレベル合意書)の定義・目的

SLA(Service Level Agreement)は、クラウドサービスを提供する事業者とそのサービスを利用する企業との間で交わされる、サービス提供の範囲や品質に関する合意書のことを指します。具体的にはサービスの稼働率や応答時間、障害発生時の対応体制、サポート体制、データの管理体制など、サービスの運用における品質基準や責任範囲を明文化します。多くの場合、契約文書の一部として、または独立した文書として締結されます。

利用者はSLAの項目を確認することで、そのSaaSが利用者の求める品質基準を満たしているか、万が一の際にどのような補償を受けられるかを事前に把握することができます。

SLAがないとどうなる?想定されるリスクとは

SLAが未整備、または内容を把握していない場合、サービス稼働率の保証がなく、障害発生時の対応が遅れたり範囲が不明瞭となり、業務停止リスクが拡大します。バックアップやデータ消去の要件が曖昧だと、データ消失や情報漏洩が起こりやすく、責任共有モデルが不明確なままだと、インシデント発生時に補償交渉が長期化し、被害を最小化できない恐れがあります。

また、データのバックアップ体制や保存期間、データ消去の要件などが不明確な場合、データの消失や不正な取り扱いのリスクが高まります。セキュリティ対策の範囲や水準が曖昧であれば、情報漏洩やサイバー攻撃に対する脆弱性が生じかねません。

万が一、インシデントが発生した場合でも、どこまでがSaaS事業者の責任で、どこからが自社の責任なのか(責任共有モデル)が不明確になり、補償や対応フローが分からず、SaaS提供事業者に改善の要求や補償を求めたりすることが困難になります。

ISMS認証取得とSLAの関係とは

ISMS(情報セキュリティマネジメントシステム)認証とSLA(サービスレベルアグリーメント)は、情報セキュリティとサービス品質の異なる側面を持ちつつも、相互に補完し合う関係にあります。

SaaSなどのクラウドサービス利用においては、責任共有モデルに基づき、インフラのセキュリティ対策は提供者が担い、アクセス管理やデータ保護などは利用者の責任となります。この責任範囲はSLAで明確にされ、ISMSのリスクアセスメントや管理策の策定に活用されます。

ISMS認証は直接SLAの内容を保証するものではありませんが、組織の情報セキュリティ体制の確立と継続的な改善を示すことで、サービスの信頼性向上に寄与します。ISMS認証の取得は、安全で信頼性の高いサービス提供を顧客に示す手段となり、SLAの価値を高めることにつながります。

SLAに規定すべき項目

SLAに規定すべき項目は、SaaSから提供されるサービスの種類や内容、利用者の要件によって異なりますが、一般的に以下のような項目が含まれます。これらを明確に定義しておくことで、SaaS提供事業者と利用者の間で期待値を合わせ、トラブルを未然に防ぐことができるでしょう。

セキュリティに関する事項の確認

サービス提供者が国際的な第三者認証(例:ISO 27001、ISO 27017、ISO 27018)を取得しているかを確認することが出発点となります。これらの認証取得状況は、SaaSの信頼性を客観的に示す証明となり、同時にISMAPへの登録有無も信頼性を補強する指標となるでしょう。また、アプリケーションが脆弱性診断などの外部評価を受けているか、物理的なセキュリティ対策が施されたデータセンターを利用しているかどうかも重要な判断材料です。

さらに、通信の暗号化状況やマルチテナント構成下におけるユーザー間の論理的分離といった構成レベルの安全性についても、SLAの中で明示されるべきです。加えて、万が一セキュリティインシデントが発生した場合に備えたトレーサビリティの仕組みや、ウイルス対策の有無、データ消去の手続きも忘れてはならない観点です。

機密性に関する事項の確認

SaaS提供事業者では、多くの情報が他社と同様のデータベースで管理されています。そのため、システムが持つセキュリティ上の懸念事項についても、そのまま利用者の情報管理体制へと引き継がれることになります。

十分な対策を実施していると考えられますが、SaaS提供事業者の選定時には、脆弱性や脅威に対する対策の状況についての確認が大切です。

そのため、機密性の確保については保存データおよび通信経路の暗号化の具体的な方式や方針がどうなっているか、特に個人情報や企業の機密データを取り扱うサービスにおいては、SLAで詳細に記載することが求められます。

完全性に関する事項の確認

データの漏えいだけでなく、改ざんや消去でも、業務が継続できない重大な問題となるため、データの完全性について対策が施されているかどうか確認します。

完全性に関する内容としては、操作ログやアクセスログがどの範囲で取得・保存されるのかがポイントです。ユーザーの操作履歴を記録することで、後日トラブルが起きた際に原因の特定や不正の証明に役立ちます。システムとしての整合性チェック機能の有無、入力ミスやデータ破損を防ぐ仕組みも、品質を保つうえで欠かせません。

あわせて、SaaS提供事業者との契約を解約する際のデータの取り扱いも、確認しておく必要があります。

可用性に関する事項の確認

可用性という観点では、サービスが正常に稼働するための目標稼働率(例:99.9%)や、障害発生時の通知方法、復旧時間(RTO:目標復旧時間、RPO:目標復旧時点)の明示が必要です。

加えて、定期メンテナンスの時間帯や、その告知方法も利用者にとっての利便性を左右する要素となります。万一の災害時に備えたディザスタリカバリ体制や、代替手段の提示なども、BCP(事業継続計画)の観点から重要です。

あわせて、目標とする可用性を達成できなかった場合に、未達成の度合いに応じた減額率や返金額も具体的に定めます。これらを明確にしておくことで、SaaS提供事業者と利用者間の認識の食い違いを防ぐことができます。

運用保守に関する事項の確認

どのようなシステムであっても、保守のためのシステム停止は避けることができません。そのため、SaaS提供事業者が保守計画を管理していることを確認します。

運用保守に関する内容では、日常のバックアップの頻度や保持期間、バックアップからの復元(リストア)の可否が運用の堅牢性に直結します。また、障害発生時のシステム監視体制や通知ルール、運用状況のレポート頻度など、日々のサービス品質を保つための体制整備についても記載が求められます。

コンプライアンス対応に関する事項の確認

法令や規制、外部からの要求事項への対応に関する項目です。コンプライアンス対応として、国内外の法規制への準拠状況、特に個人情報保護法やGDPRなどへの対応方針を明記することで、法的リスクを回避しやすくなります。あわせて、総務省のクラウドセキュリティ対策ガイドライン等に基づくベストプラクティスへの対応状況も、信頼性を判断するうえで有益な情報となるでしょう。

以上の項目を参考に、SaaSが提供するサービスの実態と自組織のニーズに合わせて、具体的な形でSLAを策定することが重要です。また、SLAは一度作成したら終わりではなく、ビジネス環境やサービス内容の変化に対応するため定期的に見直し、改善していくことも必要です。

まとめ:対応に迷ったらコンサルの活用を検討しよう

スムーズなSaaS導入には、コンサルの積極的な活用が鍵となります。

SaaSの利用は、業務の効率化やコスト削減に貢献する一方で、情報セキュリティ上の新たなリスクをもたらす可能性があることも事実です。しかし、これらのリスクを適切に管理するため、SaaSの契約内容とSLAを慎重に確認し、自組織のセキュリティ要求事項を反映させることも不可欠です。そのため、SaaS提供事業者の選定段階から、コンサルを活用することは大きな利点となります。

初めてのSaaS契約やリソースが限られている組織の場合、コンサルの活用は大いに役立ちます。また、「専門家のアドバイスで効率的に進めたい」「審査の不適合リスクは避けたい」という方も、ぜひコンサルの活用を視野に入れたSaaS導入を目指してみてください。

関連ページ
目的別に選べる!
ISMS認証コンサルおすすめ3社
【コスト・対応力・運用重視】

ISMS(ISO27001)認証を取得する企業が増える中で、「自社のリソースが限られている」「取得したはいいが運用が続かない」といった課題を抱える企業は少なくありません。そこで重要になるのが、自社の状況に合ったコンサルティング会社の選定です。
ISMS認証コンサルを活用することで、「専門知識や担当者が不在でも取得を実現」「取得後も運用が続く“使える体制”を構築」といったメリットを得られます。
今回は、こうしたニーズに応えるISMS認証支援会社の中でも、「費用」「対応業種」「実務運用力」という観点に強みを持つ3社をご紹介します。

コストを抑えて手間なく
「まず取得したい」
なら
ISOサポート
ISOサポート
※引用元:ISOサポート公式HP(引用元:https://www.iso-sp.co.jp/2700.html )
特徴
  • 専任不要&月額3.3万円の低コスト
    情報セキュリティ担当がいなくても導入可能。人員・予算に限りがある中小・スタートアップ向け。
  • 中小企業向けフルアウトソーシング支援
    書類作成からプロセス設計まで丸ごと対応。初めての企業でも安心。
  • 維持運用しやすい実務重視の設計
    最小限の設計で、取得後も1名体制で継続しやすい。
公式サイトで
サービスの詳細を確認
電話で問い合わせる
複雑な組織や業種にも
柔軟に対応
してほしいなら
ISOプロ
ISOプロ
※引用元:ISOプロ公式HP(https://activation-service.jp/iso/lp/)
特徴
  • 現役審査員が直接サポート&訪問無制限
    複雑な多拠点対応も、現場に即した導入設計が可能。
  • 業種特化・6か月以内の取得も相談可
    業界特有の運用にも対応し、スピード重視の企業にもおすすめ。
  • ISO事務局も代行し全工程を一括支援
    社内対応の手間を減らし、効率・品質を向上。
公式サイトで
サービスの詳細を確認
電話で問い合わせる
中小企業で
運用負担を削減
したいなら
ワークストラスト
ワークストラスト
※引用元:ワークストラスト公式HP(https://www.workstrust.com/)
特徴
  • 書類作成の負担が少ない
    提供される書類は全てサンプル付きで、確認・加筆修正を行うだけで活用できるため作業負担を大きく軽減。
  • 取得時も取得後も運用の負担が少ない
    負担の少ない運用を行うためには、管理すべき(作成すべき)書類は最小限に留めることが重要。
  •                          取得後は自社で維持、運用が可能
    必要最小限な運用が可能なため、自社だけでも準備が容易。
公式サイトで
サービスの詳細を確認
電話で問い合わせる