ASPサービスの信用度をチェックする7つの質問

今日は、ASPやSaaSといった、外部のサービスを利用するときに、そのサービスがどれくらい信用できるかをチェックするために投げかけるといい質問の仕方を紹介します。

「おたく、セキュリティ大丈夫？」と聞いても、先方の営業さんは「大丈夫です」と言うでしょう。でも、何かあったら、被害を被るのは自社のお客さん。そして、「あれは他社のサービスが原因で」という言い訳は通じません。だから、事前に確認しておくのが大切、ということです。

以前にWeb担のサイトのセキュリティ診断を受けてみたという記事を書きましたが、その後、読者の方のサイトも診断していただいて、少しびっくりしたことがありました。というのも、そこがサイトの一部の機能に使っている他社のASPサービスに、セキュリティ上の問題が指摘されたのです。

「ほかの会社さんも使っている有料のサービスだから大丈夫だろうと思っていた」とは、Web担当者さんの言葉。そういうことは多いのではないでしょうか。

ということで、外部のSaaS/ASPベンダーの信用度をチェックするために、どんな質問をするといいかを紹介します。

いくつか項目について補足しておきましょう。

• 脆弱性調査

  単に社内のエンジニアが努力するだけでなく、第三者の診断を受けてもらい、かつ、その診断の内容も確認しましょう。隣のおばちゃんがブラウザで見るだけでも第三者の診断だと主張することは可能ですから。

• 稼動率

  たとえば、月間稼働率は次のような式で計算されます。

  月間稼働率 ＝ 100 － (サービスが何分間停止していたか ÷ 43200 × 100)

  43200は60分×24時間×30日の意味です。また、「○○からアクセスして○秒以内に反応が戻らないと停止とみなす」といった条件を定めないと、「いえ？ うちの社内からは大丈夫でしたよ」というトラブルになる場合も。

• バックアップ

  具体的にどのデータ（会員情報、管理画面情報など）をバックアップするのかと、バックアップの手法も確認するべき。事業者によってはRAID 0をもって「バックアップ」だと主張して、結果として復旧できないなんて場合も……。

• 告知体制

  回答としては、たとえば、次のようなものになるでしょう。

  システムの停止を伴うバージョンアップやメンテナンスの場合は○か月前、○週間前、○週間前の計○回。システムの停止を伴わないバージョンアップやメンテナンスの場合は○週間前。ただし、セキュリティ関連の緊急性を伴うメンテナンス作業等を除く。

• 共通除外項目

  リスクを的確に判断しているならば、次のような項目は除外するはずです。

  • 災害時
  • 契約ISPやデータセンターのメンテナンスによる接続断
  • その他、不可抗力事項

これらの項目を、「SLA」として定めている場合もあります。まずは「SLA仕様書を見せてください」と言ってみるといいでしょう。

SLAが出てきたら、セキュリティ事項を含め、この7つの項目が網羅されているかどうかを調べられます。SLAがなかったり、SLAに書かれていない項目があったりしたら、上記のように質問してみて、回答がもらえるかどうかで、ある程度は信用度がはかれるのではないでしょうか。

どんな回答があればOKだとみなすのかは、そのサービスに対してどれくらい費用を支払っているのかにもよります。大切なのは、回答の内容にあなたが納得感を持てるかどうかですね。

ちなみに、このチェックリストや質問項目は、Web担のセキュリティ診断でもご協力いただいた株式会社ラックさんからいただいたネタをもとに、編集部が修正/加筆して作成しました。また、ラックさんのご厚意により、このチェックリストと補足部分はCreative Commons（表示-継承 2.1）で公開しますので、あなたのブログなどで自由に使っていただいて構いません（Web担のサイト全体をCCにするという意味ではないですよ！）

この記事は、クリエイティブ・コモンズ・ライセンスの下でライセンスされています。

この記事は、メールマガジン「Web担ウィークリー」に掲載されたコラムをWeb担サイト上に再掲したものです。