SaaS企業で長い間(ASPと呼ばれていた頃に)働いてきたので、多くの企業が「セキュリティ上の懸念」のためにSaaSソリューションを採用していないと聞いています。 この態度は最近かなりの数のブログ投稿を生み出したので、私は私の2セントを追加すると思いました。
SaaSに関係する人々は、セキュリティはしばしば 優れた ベースのシステムを前提とするSaaSシステムで。
「TheWeekin SaaS」(SaaSの人々にとって不可欠なブログだと思います)のJustin Pirieは、次のように述べています。
これはボンカーです! ファイアウォールの背後にあるからといって、それが安全になるわけではありません。
ルーヴァンコーエン 弾性蒸気 彼の見解を要約します:
それで、私の意見は何ですか? さまざまな企業のIT運用を管理し、SaaS企業で働いてきたので、現実的な見方を共有できると思います。
アプリケーションのセキュリティには、(単純に)XNUMXつの側面があります。物理的なセキュリティとアプリケーションレベルのセキュリティです。
あなたが小さな会社で、前提ベースのアプリケーションを持っているなら、おそらくアプリケーションレベルのセキュリティについてはあまり気にしないでしょう。 会社は小さく、誰もがある程度信頼されるでしょう。 アプリケーションがファイアウォールの背後にあり、外部からのアクセスがないという事実は、かなり優れたセキュリティを提供します。 ここでのSaaSの利点は、中小企業は通常、物理的に安全な構内ベースのサーバーを持っていないことです。 それらは通常、小さなサーバールーム(またはクローゼット)にあり、アラーム、24時間警備員、およびデータセンターの他のすべての宣伝された機能の邪魔になりません。 また、サーバーに物理的にアクセスできる場合は、サーバー上のデータにアクセスできます。 私の友人として、 SaaSプロパティマネジメントソフトウェア 会社は、次のように述べています。「フォーチュン500企業は、サーバーをSMBサーバールームに配置することを検討しません。 それでも、SaaSサーバーと同じデータセンターにあります。」
企業が成長するにつれて、通常は物理的なセキュリティを上回りますが、セキュリティに敏感なアプリケーションは従業員のサブセットに制限されるようになるため、アプリケーションのセキュリティが頭角を現します。 多くの前提ベースのアプリケーション(特にオープンソースのアプリケーションまたは社内で開発されたアプリケーション)は、アクセス制御が設計されていない状態で作成されています。企業が規模に達すると、ファイアウォールの外側にいる人々が前提ベースのアプリケーションにアクセスする必要があります(リモートオフィス、在宅勤務者など)。 「誰もアクセスできないので、ひどく安全でなくても問題ありません」というセキュリティの前提全体を損なうことなく、そのアクセスを安全に許可するにはどうすればよいでしょうか。
はい、リバースプロキシファイアウォールまたはSSL VPNを配置して、ある種のリモートアクセスを提供できますが、セキュリティのための前提ベースのソフトウェアの「単純な」選択はますます複雑になっています(そして高価になっています)。
したがって、上記のコンセンサスは正しいと思います。どのような規模の企業でも、前提ベースのソフトウェアよりもSaaSソリューションの方がセキュリティの問題と費用が少ない可能性があります。
(参考– LogicMonitorのサーバーはエクイニクスのデータセンターにあります。)
あなたの考えは?