SaaSでどうするシステム監査

SaaSの普及により、企業と情報システムとの付き合い方が変わりつつあります。情報システムの効率性・信頼性・安全性を守る仕組であるシステム監査はどのように対応するのがよいのでしょうか。

開発の効率性の観点からすれば、SaaSの評価はこれまでのパッケージ開発の効率性評価の延長線上にあると見てよいでしょう。パッケージ開発においてよくあるケースとして、自社の情報システムのあるべき姿とのフィットギャップ分析が行なわれます。欲しい機能のうち、パッケージにあるものとないものを分析し、パッケージに無いものは諦めるか作るかしなくてはなりません。またスクラッチで開発した場合の費用や得られる効用との比較も行ないます。そのようにして費用対効果を見極めていく事になります。このやり方はSaaSでもほぼそのまま当てはまるでしょう。

SaaSにおいて目新しくなる点はバージョンアップが無償でかつ高頻度に行なわれることが多い点です。パッケージソフトのメジャーバージョンアップで想定外の出費を強いられたという話を聞くことがありますが、その点においてSaaSは有利な形態であると言えます。契約の方式や過去の実績を調べ機能向上などの将来性を見積もった上で判断してことになるでしょう。また、SaaSでスモールスタートした後にオンプレミスなサービス形態に移行することも考えられます。まとまった規模になれば自社で運用したほうが安くなるケースもあるでしょう。場合によっては「やめる」という選択肢もあるはずです。いきなり大きく構築してしまうよりはリスクを低減できるという特性があります。

また、SaaSの基盤は自社で持ちません。オンプレミスなサービスではバックアップデータの隔地保管や電源二重化などに膨大なコストがかかりますが、巨大なデータセンターを保有する専門の会社に丸ごと引き受けてもらうことが効率的になる場合がほとんどでしょう。十分な信頼性・安全性を確保できるレベルの基盤を自社保有することと、クラウドの向こう側に引き受けてもらうことのどちらが効率的かを考えることになります。SaaSとSLAの関係については下のような資料が参考になるでしょう。

「ＳａａＳ向けＳＬＡガイドライン」公表について（METI/経済産業省）
http://www.meti.go.jp/press/20080121004/20080121004.html

性能については変更ができる場合とできない場合とがあるようです。できる場合は単純化すれば帯域が1Mbpsと10Mbpsと100Mbpsのコースがある、というような形態です。これが可能な場合では、使われないシステムは帯域を絞って費用を安くできますし、費用を負担すれば高いパフォーマンスを得る事ができます。こういったオプションの有無も効率性に関わる指標となるでしょう。これまでのシステム開発というと大きくする分には努力のしようがありましたが、小さくする、しぼませることについてはほとんど努力がされませんでした。仮想化という技術もそうですし、SaaSもそうですがこの不景気の中で「コンパクトにできる」というのは地味だけれども大きなメリットであると思います。

それぞれ具体的な監査の手法についてもこれまでのやり方とは少し変わってきそうです。SaaSを展開する企業では一社だけにサービスを提供するということは考えられません。顧客企業の数だけシステム監査を受け入れていたらその対応だけで膨大な手間が生じてしまいます。それについてはサービス元の企業が信頼しうる機関からシステム監査を受け、おおよそ必要となりそうな項目についてはその監査記録を見ることで用が済むような体制を整えることになるでしょう。

各企業においてはシステム監査の計画時点でSaaS化されている部分を考慮しておくことができます。また、それと関係なく監査項目が決まっている場合は入手できる監査記録との整合性を検証し、個別に監査が必要となる項目が生じた場合はサービス元との調整が必要となります。複数社が相乗りしているわけですので、サービス元での行動には常時帯同が必要となるなどの制限が加わる恐れがあります。当日速やかに監査が実施できるような事前の準備などが重要になるでしょう。

最後にこれは余談に「なってほしい」点ですが、今のところSaaSのサービス元が倒産して夜逃げしてしまったという話は聞きません。データセンターには自分の機器を「預ける」わけですのでデータセンターが倒産しても困ることはないと思われます。また、サーバレンタルの会社では何度か倒産の話を聞いたことがありますが、レンタルサーバの場合は自社にデータやプログラムのバックアップを置いておくことが普通であるように思います。これがSaaSのサービス元となるとどうなってしまうのでしょうか。

機器は間違いなく差し押さえられてしまうでしょうから、債権者に「データだけください」というお願いをできるかどうかというところが非常に気になります。いや、当然自分も債権者になるでしょうけど。サービスメニューの一環としてデータの隔地保管があれば助かりそうですが、１社ごとにわかりやすいデータでバックアップされているとも限りません。各社相乗りのディスク丸ごとバックアップなどされていた日には各社相乗りで復旧しなくてはならないなんていうことも考えられます。反対に生データのままでテープがどっさり出てきてもそれはそれで驚きます。暗号化されていたとしたら誰が復旧するのでしょうか。スクラッチで開発を委託してソースも設計書もプログラムも納品してもらった場合は引き継いでくれる会社を探すことができるでしょうが、SaaS事業者が四散してしまった場合はそのシステムがどれだけ気に入っていようとも同じものを作ることはできないかもしれません。これは各種のプロプライエタリなソフトウェアに言えることでもありますが、PaaS（HaaS)が普及すればごく少数のプログラマとオペレータを集めれば事務所一部屋でSaaSを提供するということもできるでしょう。こういう粗悪SaaS業者が出てくると恐ろしい話ではあります。（特に実在を確認したわけでないです。予測の範疇をすぎません。）

そういうわけでSaaSの特徴に気をつければこれまでと同じ考え方でシステム監査ができそうですが、「信用情報」に関することは過去に参考にできる事例が少ないだけに慎重になったほうが良いだろうと思いました。