ASPサービスの信用度をチェックする7つの質問

「おたく、セキュリティ大丈夫？」と聞いても、先方の営業さんは「大丈夫です」と言うでしょう。でも、何かあったら、被害を被るのは自社のお客さん。そして、「あれは他社のサービスが原因で」という言い訳は通じません。だから、事前に確認しておくのが大切、ということです。

以前にWeb担のサイトのセキュリティ診断を受けてみたという記事を書きましたが、その後、読者の方のサイトも診断していただいて、少しびっくりしたことがありました。というのも、そこがサイトの一部の機能に使っている他社のASPサービスに、セキュリティ上の問題が指摘されたのです。

「"ほかの会社さんも使っている有料のサービスだから大丈夫だろうと思っていた"」とは、Web担当者さんの言葉。そういうことは多いのではないでしょうか。

ということで、外部のSaaS/ASPベンダーの信用度をチェックするために、どんな質問をするといいかを紹介します。

外部のSaaS/ASPベンダーの信用度をチェックする質問

1. 監視体制

サービスの運用状況における障害検知の監視体制はどうなっていますか？

実際に監視していたことは、どんな形（ログ）で証明してもらえますか？

2.脆弱性調査

セキュリティを維持するために、どんな脆弱性検査をどの頻度で実施しますか？

「是正する事項」と判断されたものは、発見後、何日以内に修正してもらえますか？

3. 稼動率

月間稼働率は、何パーセントですか？

4.バックアップ

システム障害に備えて、登録データを最低何日分バックアップしてくれますか？

5.告知体制

システム変更作業の告知はどれくらい前に教えてもらえますか？

6.共通除外項目

上記5項目の適用が除外されるのはどんな場合ですか？

7.サービス保証違反時の補償について

上記5項目が守られなかった場合の補償に関して、各項目について補償内容を教えてください。

いくつか項目について補足しておきましょう。

* 脆弱性調査
単に社内のエンジニアが努力するだけでなく、第三者の診断を受けてもらい、かつ、その診断の内容も確認しましょう。隣のおばちゃんがブラウザで見るだけでも第三者の診断だと主張することは可能ですから。

* 稼動率
たとえば、月間稼働率は次のような式で計算されます。

月間稼働率 ＝ 100 － (サービスが何分間停止していたか ÷ 43200 × 100)

43200は60分×24時間×30日の意味です。また、「○○からアクセスして○秒以内に反応が戻らないと停止とみなす」といった条件を定めないと、「いえ？ うちの社内からは大丈夫でしたよ」というトラブルになる場合も。

* バックアップ
具体的にどのデータ（会員情報、管理画面情報など）をバックアップするのかと、バックアップの手法も確認するべき。事業者によってはRAID 0をもって「バックアップ」だと主張して、結果として復旧できないなんて場合も……。

* 告知体制
回答としては、たとえば、次のようなものになるでしょう。