SaaSベンダーが負うべき責任について

従来型パッケージ提供事業者とSaaS提供事業者の責任範囲の違い

従来型のパッケージ（※オンプレミス型のパッケージソフトウェア）提供事業者と比べて、SaaS提供事業者の責任範囲は多岐にわたり、構築や管理の難易度も高くなります。下図は、従来型のパッケージ提供事業者とSaaS提供事業者の責任範囲および管理難易度の違いを示したものです。

従来型のパッケージでは、システムの構築や運用は顧客企業が責任を持って行うことになります。一方、SaaSにおいては、システムの構築や運用はSaaS提供事業者の責任範囲となるため、責任分界点が異なっている点が大きな特徴です。また、SaaSでは契約している顧客企業の数だけテナント環境が増え、管理・運用する範囲も拡大していくため、SaaS提供事業者にとっては管理の難易度が格段に高まります。

このことから、責任範囲や管理難易度の増大によって、SaaS提供事業者の負荷が非常に高いことがわかります。

SaaSにおける責任範囲の明確化の重要性

セキュリティというAWSのような世界的な企業も常に意識している重要なポイントに対して、AWSは責任共有モデルという責任範囲の分割によって、セキュリティリスクの分担を明確にしています。SaaS提供事業者も自社の責任範囲を明記した上で、それらの理解と遵守を徹底する必要があります。SaaSにおいては上位レイヤーまで責任範囲があるため、責任が事業者サイドに偏りがちです。そのためセキュリティリスクへの対応が広い範囲で求められます。加えて複数テナントにおけるテナントの境界という視点も必要になるため、管理の複雑性も高くシステム開発の難易度が高いです。

AWSは「責任共有モデル」の仕組みを導入することでAWSの責任範囲を明確化し、ユーザーの責任範囲においてもサポートする機能を提供して、ユーザー自らがセキュリティを担保できる環境を備えています。

引用：AWS「責任共有モデル」
https://aws.amazon.com/jp/compliance/shared-responsibility-model/

SaaS提供事業者においても、責任範囲を明確化した上で、その内容を遵守しなければなりません。

そして、SaaSを展開する場合、基本的にSaaS提供事業者の責任範囲はAWSにおける責任共有モデルのものよりも広くなります。具体的には、SaaS提供事業者側がハードウェア、ネットワーク、OS、ミドルウェア、アプリケーション、そしてデータの保護における責任を持ち、ユーザーはアプリケーション上で保存するデータとアクセス権限に責任を持つ形が多いでしょう。

また、SaaS製品はそのセキュリティ対策に加え、複数テナントの管理も必要なため、開発・運用におけるハードルが従来型のパッケージと比較して高くなる点も特徴です。

まとめ

SaaSにおいては提供事業者の責任範囲は広く、管理の難易度は高くなります。その上で多くの顧客データを管理するため堅牢なセキュリティ環境が必要です。それだけでなく、SaaS提供においてはセキュリティに加え、複数テナントに関する対策も求められ、開発・運用のハードルは高くなります。発生する課題や脅威に対して、SaaS提供事業者は継続的かつ俊敏性の高いサービス改善を行うことが不可欠になります。

E-Book「SaaS開発ガイド」にてSaaS開発に取り組む前に知っておきたい重要ポイントを解説しています。

SaaSに関する基礎的な知識を身に付けたい方はぜひご一読ください。