前回の記事「業務アプリ・ソフトの落とし穴(1) ~脆弱性のリスクを認識し対応しよう~」に引き続き、業務用アプリケーションの選定について検討事項について解説します。
無償で提供しているのには理由がある
業務アプリやソフトなどの利用には、脆弱性以外にも注意すべきポイントがあります。たとえば、業務アプリやソフトなどに入力したデータが、どこに保存されるのか、どういう経路で、どのような状態で送信されるのかといったことも重要なポイントです。
データの保存場所は、社内のサーバーや社外のサーバー、あるいはクラウド上に置かれることがあります。海外のサーバーに置かれることもあるので、データを国外に出さないというコンプライアンスのある企業では注意が必要です。
データを送信する際の経路や状態とは、データがそのままインターネットを使用して送信されるのかどうかということです。送信時に暗号化されたり、VPNを経由したりするのであれば、データの盗み見などを防止できますし、データの保存時にも暗号化されていれば、万一サーバーに不正アクセスが行われても、重要なデータが漏えいする可能性が低くなります。重要なデータを扱う場合には、確認が必要でしょう。
また、アプリやソフトなどの提供者が、ユーザーが入力したデータを“匿名化”して活用するケースもあります。匿名化とは、データを別のリストと突合しても個人を特定できない状態にすることです。
たとえば、交通系のアプリを無償提供する代わりに、その移動履歴のみを収集し、人の流れの分析に活用するといったケースがあります。しかし過去に、移動履歴と会員リストを突合することで個人を特定できてしまうことが判明した事件もありました。データを収集される場合には、どのような情報が収集されるのかを把握するべきでしょう。
さらに、データの開示要求への対応についても確認しましょう。これは主にクラウドサービスが対象になりますが、たとえばクラウドサービスで使用しているサーバーが、スパムメールやフィッシングメールの配信に悪用されている可能性がある場合、警察が情報開示を要求します。多くのクラウド事業者は基本的にユーザーの情報を守ろうとしますので、正式な捜査令状が提示されない限り、情報を開示しません。このあたりの対応も確認しましょう。
特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律
クラウドサービスは「責任分界点」に注意
業務アプリやソフトには、クラウドサービスのクライアントとなっているものも少なくありません。クラウドサービスには、SaaS(Software as a Service:サービスとしてのソフトウェア)やIaaS(Infrastructure as a Service:サービスとしてのインフラ)などの種類があります。この種類によって、ユーザーの責任範囲が異なることに注意しましょう。
SaaSの場合はソフトウェアのみがサービスとして提供されるため、ユーザーは基本的にソフトを利用するだけでよく、前述の脆弱性やアップデートなどを意識する必要はありません。しかし、IaaSの場合は仮想化基盤までをクラウド事業者が用意します。ユーザーはその基盤上に、サーバーなどを自由に構築し、ソフトなどをインストールして利用できますが、それらのセキュリティはユーザー自身が行う必要があります。
ユーザーが仮想化環境に構築したサーバーの脆弱性が原因で情報漏えいが発生した場合、IaaS事業者には責任を負うことがないので、注意が必要です。また、IaaSでは自由にサーバーを構築できるため、IaaS環境に対応したライセンス形式のセキュリティ対策ソフトを導入しましょう。
開発・提供事業者やサポート体制も確認を
ソフトやアプリで重要な情報を扱う場合には、その提供事業者や開発状況にも注意する必要があります。具体的には、インターネット検索などを行い、事業者について過去に問題や事故が発生していないかを確認します。また、特にOSS(オープンソースソフトウェア:ソフトウェアのソースコードが無償で公開され、改良や再配布を行うことが誰に対しても許可されているソフトウェア)の場合、基本的な機能をまとめた共通パッケージを使用することが多くあります。たとえば、パッケージ化された通信機能や周辺機器の接続機能などです。
こうした共通のパッケージに脆弱性が存在すると、そのパッケージを採用したすべてのOSSが脆弱性の影響を受けることになります。そこまでの情報を開示している事業者は少ないですが、OSSを採用する場合には、そうしたパッケージの脆弱性情報についても収集する必要があるでしょう。
さらに、海外で開発されているソフトなどに不具合が発生した場合、日本語版への適用に時間がかかることがあります。可能であれば、日本の事業者が開発・提供するソフトやアプリを選びたいところです。日本の環境や商習慣を熟知していますし、個人情報保護法などの日本の法規制にも対応していると考えられます。
無償版と有償版の大きな違いは、サポート体制といえます。有償版は24時間365日体制でサポートを提供していることが多いのですが、無償版には基本的にサポートがありません。不具合が発生したときの対応もユーザーに委ねられますので、対応できる人材がいない場合は、有償版を利用する方が安心です、また、日本の事業者であれば、日本語でのサポートが受けられるので、この点でも日本の事業者を選ぶメリットがあります。
業務用のソフトやアプリ、クラウドサービスは、業務効率の向上が期待できるとともに、働き方改革にも寄与すると考えられます。これらを選ぶ際には、必ずしも無料版がベストとはいえません。企業の業績に直結するものだけに、より安心してセキュリティの高いものを選ぶことが重要なのです。
