見出し画像

SaaS運用を考えるの巻

SaaSを利用すると、基本的には基盤運用の項目が激減します。
パッチ適用も減るし、監視も減るし、システムバックアップもなくなるし、といった感じです。
ただ、SaaSは独自の運用観点もありますので、今日はそのあたりをまとめてみたいと思います。

SaaS選定

そもそも、まずは安全なSaaSを選定する必要があります。
使ってみたら思ったより止まりました。あと、情報流出してました。てへ。
ではすまされません。
そのあたりは経済産業省の「SaaS向けSLA ガイドライン」に詳しくありますので、ご興味ある方は確認しておいてください。
ちょっと古い資料ですが、根本的な考え方は変わっていないように思います。
特にP46からの「サービスレベル項目のモデルケース」が参考になります。

https://www.meti.go.jp/policy/netsecurity/secdoc/contents/downloadfils/080121saasgl.pdf

ID管理(認証/認可)

こちらは認証と認可を分けて考えた方が良いでしょう。

・認証
認証は利用者も管理者もSSOでアカウントをまとめていくのがベストプラクティスとなります。
SaaSごとにアカウントを作ってしまうと、アカウント追加/削除の作業が発生し、それぞれのアカウントで2要素認証の設定を入れて・・・のような検討もついてくることを考えると、AzureADやOktaみたいな「クラウドサービス認証」を活用して、同じアカウントで複数のSaaSにログインできるのが理想です。
クラウドサービス認証側で、個人の特定強化など、アカウント乗っ取り対策を強めていくのが良いともいます。

・認可
SaaSにログインできるまでは認証でやるとして、ログインした後にどんな権限がつくのかが「認可」ということになります。
認可に関しては、SaaSごとで権限設定に関する細かい仕様が違うので、一元管理がまだ難しいのが現状です。
そのため、認可に関してはそれぞれのSaaSの管理画面等で設定するしかないのが現状です。
複数のSaaSを利用していて、誰がどのSaaSでどんな権限が付与されているかを横断的に把握したいという場合は台帳管理か、認証を司るサービス側に付加情報を付与して管理していくかという作業になります。

AzureADで考える認証/認可

セキュリティガバナンス

クラウドサービスのセキュリティは、単体で語ることが難しい状態です。
SaaSを安全に利用するということは、IDセキュリティを強化し、デバイスのセキュリティを強化して、アカウントを強化し、ネットワークを強化して、データの保護を強化する必要があります。
それは、すなわちゼロトラストになります。
ゼロトラストの細かい説明は割愛しますが、ざっと図にするとこんな感じです。

ゼロトラスト実装例

この図の元ネタは以下の書籍になりますので、もしご興味がある方はご一読ください。

SaaSの監視

SaaSの監視は意味をなさない場合がほとんどです。
つまり使えなくなったら復旧するまで待つしかないという場合が多いですね。
サービスが使えなくなったら通知をもらうという設定があったりしますが、X(旧:Twitter)やdowndetectorの方が早く情報が出回ったります。
また、関東では使えているのに、西日本では使えないといったリージョンの差があったりするので、SaaSの死活監視については諦めるか、同様な機能を持ったサービスを複数使えるようにしておいて業務自体の継続性を高める方法しかない気もします。

オンライン会議ツールであれば、TeamsとZoomの両方を利用できるようにしておく、といった対応になります。
ただ、有料ライセンスを使うとコストの問題が出てきますので、コストとのトレードオフとなります。

課金管理

SaaSの場合、従量課金というよりはライセンス数で課金が決まるので、利用者の人数が大幅に増減する場合は注意が必要です。
4月入社時とか、企業買収とかグループ会社統合などなどです。
ライセンス購入のリードタイムを鑑みて、どのように残ライセンスを管理して、どのタイミングで追加購入するかなどを事前に決めておくことが重要な運用設計要素になります。

変更管理

SaaSにはM365のように勝手に機能が追加されていくパターンと、ServiceNow等のように定期的にアップグレードが必要な製品があります。
勝手に機能が追加されるパターンは、その機能がONで追加される場合はデータ漏えい等のセキュリティリスクが無いかを事前に検討しておくとベターです。

アップグレードが必要な場合は、ある程度の変更コントロールは出来ますが、アップデートするとプラグインや作りこみが吹っ飛ぶ場合があるので注意は必要です。
また、定期的にアップグレードしないとサポートが受けられなくなる場合もあるので注意が必要です。

こういった情報は、製品ロードマップやカンファレンス等で事前に入手することができます。
最新のアップデート情報をどのように管理するかを決めておくことも、クラウドサービスを利用する上では重要な設計要素になります。

まとめ

SaaS運用の歴史はまだ始まったばかりなので、今後さまざまなツールや考え方が増えていく可能性があります。
なにはともあれ、システム運用者も積極的に情報収集しなければならない時代になったことは間違いないでしょう。


SaaSも含めた運用の考え方を、「運用設計の教科書」と「運用改善の教科書」にまとめて書いてあります。
もう少し詳しく知りたい方は是非ご購入ください。


この記事が気に入ったらサポートをしてみませんか?