初代編集長ブログ―安田英久

ASPサービスの信用度をチェックする7つの質問

「おたく、セキュリティ大丈夫?」と聞いても、先方の営業さんは「大丈夫です」と言うでしょう。でも……
Web担のなかの人

今日は、ASPやSaaSといった、外部のサービスを利用するときに、そのサービスがどれくらい信用できるかをチェックするために投げかけるといい質問の仕方を紹介します。

「おたく、セキュリティ大丈夫?」と聞いても、先方の営業さんは「大丈夫です」と言うでしょう。でも、何かあったら、被害を被るのは自社のお客さん。そして、「あれは他社のサービスが原因で」という言い訳は通じません。だから、事前に確認しておくのが大切、ということです。

以前にWeb担のサイトのセキュリティ診断を受けてみたという記事を書きましたが、その後、読者の方のサイトも診断していただいて、少しびっくりしたことがありました。というのも、そこがサイトの一部の機能に使っている他社のASPサービスに、セキュリティ上の問題が指摘されたのです。

ほかの会社さんも使っている有料のサービスだから大丈夫だろうと思っていた」とは、Web担当者さんの言葉。そういうことは多いのではないでしょうか。

ということで、外部のSaaS/ASPベンダーの信用度をチェックするために、どんな質問をするといいかを紹介します。

外部のSaaS/ASPベンダーの信用度をチェックする質問
  1. 監視体制
    サービスの運用状況における障害検知の監視体制はどうなっていますか?
    実際に監視していたことは、どんな形(ログ)で証明してもらえますか?
  2. 脆弱性調査
    セキュリティを維持するために、どんな脆弱性検査をどの頻度で実施しますか?
    「是正する事項」と判断されたものは、発見後、何日以内に修正してもらえますか?
  3. 稼動率
    月間稼働率は、何パーセントですか?
  4. バックアップ
    システム障害に備えて、登録データを最低何日分バックアップしてくれますか?
  5. 告知体制
    システム変更作業の告知はどれくらい前に教えてもらえますか?
  6. 共通除外項目
    上記5項目の適用が除外されるのはどんな場合ですか?
  7. サービス保証違反時の補償について
    上記5項目が守られなかった場合の補償に関して、各項目について補償内容を教えてください。

いくつか項目について補足しておきましょう。

  • 脆弱性調査

    単に社内のエンジニアが努力するだけでなく、第三者の診断を受けてもらい、かつ、その診断の内容も確認しましょう。隣のおばちゃんがブラウザで見るだけでも第三者の診断だと主張することは可能ですから。

  • 稼動率

    たとえば、月間稼働率は次のような式で計算されます。

    月間稼働率 = 100 - (サービスが何分間停止していたか ÷ 43200 × 100)

    43200は60分×24時間×30日の意味です。また、「○○からアクセスして○秒以内に反応が戻らないと停止とみなす」といった条件を定めないと、「いえ? うちの社内からは大丈夫でしたよ」というトラブルになる場合も。

  • バックアップ

    具体的にどのデータ(会員情報、管理画面情報など)をバックアップするのかと、バックアップの手法も確認するべき。事業者によってはRAID 0をもって「バックアップ」だと主張して、結果として復旧できないなんて場合も……。

  • 告知体制

    回答としては、たとえば、次のようなものになるでしょう。

    システムの停止を伴うバージョンアップやメンテナンスの場合は○か月前、○週間前、○週間前の計○回。システムの停止を伴わないバージョンアップやメンテナンスの場合は○週間前。ただし、セキュリティ関連の緊急性を伴うメンテナンス作業等を除く。
  • 共通除外項目

    リスクを的確に判断しているならば、次のような項目は除外するはずです。

    • 災害時
    • 契約ISPやデータセンターのメンテナンスによる接続断
    • その他、不可抗力事項

これらの項目を、「SLA」として定めている場合もあります。まずは「SLA仕様書を見せてください」と言ってみるといいでしょう。

SLAが出てきたら、セキュリティ事項を含め、この7つの項目が網羅されているかどうかを調べられます。SLAがなかったり、SLAに書かれていない項目があったりしたら、上記のように質問してみて、回答がもらえるかどうかで、ある程度は信用度がはかれるのではないでしょうか。

どんな回答があればOKだとみなすのかは、そのサービスに対してどれくらい費用を支払っているのかにもよります。大切なのは、回答の内容にあなたが納得感を持てるかどうかですね。

ちなみに、このチェックリストや質問項目は、Web担のセキュリティ診断でもご協力いただいた株式会社ラックさんからいただいたネタをもとに、編集部が修正/加筆して作成しました。また、ラックさんのご厚意により、このチェックリストと補足部分はCreative Commons(表示-継承 2.1)で公開しますので、あなたのブログなどで自由に使っていただいて構いません(Web担のサイト全体をCCにするという意味ではないですよ!)

Creative Commons License
この記事は、クリエイティブ・コモンズ・ライセンスの下でライセンスされています。

この記事は、メールマガジン「Web担ウィークリー」に掲載されたコラムをWeb担サイト上に再掲したものです。

この記事が役に立ったらシェア!
みんなが読んでるWeb担メルマガで、あなたも最新情報をチェック
  • SEOやデジタルマーケの最新情報をゲット
  • 事例やインタビューも見逃さない
  • 要チェックのセミナー情報も届く
みんなが読んでるWeb担メルマガで、あなたも最新情報をチェック
  • SEOやデジタルマーケの最新情報をゲット
  • 事例やインタビューも見逃さない
  • 要チェックのセミナー情報も届く

今日の用語

被リンク
自分のサイトにリンクを張ってもらうこと、または張ってもらったリンクのこと。 ...→用語集へ

連載/特集コーナーから探す

インフォメーション

Web担のメルマガを購読しませんか?
Web担の記事がコンパクトに毎週届くメールマガジン「Web担ウィークリー」は、10万人が読んでいる人気メルマガ。忙しいあなたの情報収集力をアップさせる強い味方で、お得な情報もいち早く入手できます。

Web担に広告を掲載しませんか?
購読者数10万人のメールマガジン広告をはじめとする広告サービスで、御社の認知向上やセミナー集客を強力にお手伝いいたします。

サイトマップ
RSSフィード


Web担を応援して支えてくださっている企業さま [各サービス/製品の紹介はこちらから]