B2B 組織は、汎用性や簡単なアクセスなどの機能を求めて SaaS を選択することが増えています。それ以外にも、B2B SaaS には、データ ストレージの容易さ、いつでもどこでもデータやサービスにアクセスできる柔軟性、ミッション クリティカルなビジネス アプリケーションのための堅牢なインフラストラクチャなど、複数の利点があります。 B2B SaaS には多くの利点がありますが、顧客はこのサービス モデルに関連する潜在的なセキュリティ リスクについても検討しています。
ブログではトップの B2B について説明しています SaaSセキュリティ SaaS トレインに乗り出す前に対処すべき懸念事項:
SaaS プロバイダーを雇う前に、顧客は点線に署名する前に、セキュリティ ポリシー、アクセス手順、暗号化プロトコル、リスク管理計画について話し合う必要があります。
- データのプライバシー
B2B SaaS の顧客は、クラウドベースのストレージを SaaS ベンダーに依頼する場合、データがどのように保存され安全に保護されるかについて常に懸念しています。 B2B 顧客にとって、機密データの制御を失うこと、拡散、変更または削除、不正アクセス、データ漏洩の可能性が最大の懸念事項です。
- 透明性の欠如
SaaS プロバイダーは通常、セキュリティの手順やポリシーについて秘密にしています。これらの詳細を漏らすとセキュリティが危険にさらされる可能性があるためです。これは SaaS ベンダーの正当な主張ではありますが、顧客にはデータとアプリケーションがどのように保存されているかに関する情報を要求する権利があります。
SaaS プロバイダーと顧客は、信頼を築くために、証拠、ウォークスルー、監査について直接交渉する必要があります。この契約には以下が含まれる場合があります。
- 監査証跡とログ記録へのアクセス
- Web アプリケーションのセキュリティをデモンストレーションする
- 内部関係者の脅威を防ぐセキュリティメカニズム
- アクセス制御
- データ侵害に対処するメカニズム
- 共有インフラストラクチャ
SaaS インフラストラクチャはマルチテナントであるため、顧客データの分離も問題となります。さまざまな顧客のデータを明確に分離する必要があります。そうしないと、不正アクセスによりデータ侵害が発生する可能性があります。
アプリケーションからストレージに至るまで、スタック全体で個々の顧客データを区分化する必要があります。
- データをホストするサーバーの場所
ユーザーがどこからでもデータにアクセスできる利便性と柔軟性を実現するために、クラウドベースのソフトウェアがクライアントの所在地に最も近いデータセンターにデータを転送します。また、ほとんどの SaaS プロバイダーはサーバーの場所を共有しません。そのため、旅行中は、機密データがどこにあるのか決して分からない可能性があります。
また、一部の国では規制があります (例: フィズマ) 顧客は機密データを国内に保管する必要があります。仮想化されたシステム、データ、仮想マシンは、場所を越えて動的に移動する可能性があります。 ロードバランシング 等々
国内保証を提供している SaaS プロバイダーは多くありませんが、これは規制要件に違反する可能性があるため懸念されています。
また読む: 堅牢なカスタマー サポート プロセスは、B2B SaaS 企業に何をもたらすことができますか?
- いつでもどこでもアクセス
いつでもどこでもビジネス アプリケーションにアクセスできるという B2B SaaS の大きな利点には、根本的なセキュリティ上の懸念もあります。通常、従業員は、パブリック ネットワークまたはオープン ネットワークでスマート デバイスまたはラップトップを使用してビジネス データにアクセスします。ユーザーによっては、セキュリティ ポリシーを完全に無視し、共有デバイスまたはセキュリティで保護されていないデバイスからビジネス アプリケーションにアクセスする場合があります。
オープン ネットワークとスマート デバイスの普及により、エンドポイントの安全性が低下し、管理された周辺環境内に存在しなくなったため、ビジネスの機密データやアプリケーションが脅威にさらされることになります。
SaaS を利用する企業は、次の方法で接続とアクセスを制御する必要があります。
- ' を介したアクセスのみを許可しますホワイトリスト' IPアドレス
- VPN経由のリモートアクセス
- セキュア Web ゲートウェイ アプライアンス
- へのアクセスをブロックしていますブラックリストに載って' アプリケーション
- ネットワーク監視およびネットワーク監視に関する従業員トレーニング Webフィルタリング 技術
- エンドポイントを管理および保護するためのエンタープライズ モビリティ管理
- アイデンティティ管理
多くの SaaS プロバイダーは、顧客向けに高度なロールベースのアクセス制御を実現するために、サードパーティのテクノロジーを自社のプラットフォームと統合しています。この慣行には多くの懸念があります。
- ID 管理サービスはまだ初期段階にあり、高度な攻撃に対処できるほど成熟していません。
- 顧客は追加のセキュリティ ツールやソフトウェア システムに対処する必要があるため、ID 管理が扱いにくくなります。
- ID サービスには標準が不足しており、ユーザー プロファイルに対する独自のサポートは限られています。
ID 管理サービスとサービス プロビジョニング ツールのための包括的な業界標準を構築する必要があります。
- クラウド固有の標準の欠如
現在、確立されたクラウド セキュリティ標準はありません。一部のプロバイダーは、SAS 70 や ISO 27001 などの監査を完了しています。これらは良い出発点ではありますが、SaaS ベンダーと顧客は、新たなリスクに対処し、脆弱性を制御し、最新のセキュリティ対策を実装するためのプロトコルの確立に取り組む必要があります。
B2B SaaS には、独自の利点と課題があります。適切なインフラストラクチャ、堅牢なポリシー、オープンなコミュニケーションと問題への対処があれば、機密データやアプリケーションに対する脅威を阻止することができます。 SaaS を最適に利用するために、クライアントとベンダーの両方が協力してセキュリティ問題を特定し、関連するセキュリティ制御を展開し、定期的な監査とレビューを実行し、暗号化、MDM ソリューション、EMM などの堅牢な制御を実装する必要があります。
