SaaS・クラウドサービスのセキュリティとデータ保全の最新動向ガイド

（更新日：2026年4月21日）

近年、導入が拡大しているSaaSやクラウドサービスのセキュリティおよびデータ保全やデータ主権は、機密性の高い情報の保護や、プライバシー・個人情報保護の観点から、企業運営において欠かせない要素となっています。

SaaS（Software as a Service）は、クラウド（データセンター/サーバー）上でソフトウェアを提供するモデルです。クラウドストレージ、ファイル転送、メール、生成AIなどの情報インフラ系システムから、電子契約・契約管理、請求管理・経費精算、経理・会計財務、SCM・購買、HR人事・労務、CRM、名刺管理などの業務系システムまで多岐にわたります。これらには企業や機関の様々なデータが保管されており、ビジネスの効率化やコスト削減を実現する一方で、セキュリティリスクも無視できない存在です。

昨今の地政学リスクに伴う情報戦（IW：Information Warfare）や、生成AIの悪用によるサイバー攻撃の高度化など、企業を取り巻く脅威は進化し続けています。そのため、SaaSのセキュリティ対策やデータ保全は、単なるIT部門の課題に留まらず、経営全体に影響を及ぼす重要な戦略として位置づけられています。

本記事では、SaaSにおけるセキュリティやデータ保全の重要性と基本知識を解説し、SaaSが持つ特性や利点、有効なセキュリティ認証、対策の確認ポイントなどについて掘り下げていきます。さらに、具体的なセキュリティリスクとその対策、国内のセキュリティ基準やガイドライン、近未来のサイバーセキュリティ動向や最新技術についてもご紹介し、SaaS環境における対応策の全貌を明らかにします。

最新情報の国産クラウド基盤についても触れ、SaaSやクラウドサービスのセキュリティへの理解を深め、実効性の高い対策を講じるための手助けができれば幸いです。

SaaSのセキュリティの重要性とは？クラウドサービスの基本知識

SaaSはクラウドサービスの一環として、企業や機関の業務運用において重要な位置を占めています。部分的な業務ツールに留まらず、現在では個人情報や機密情報を含む電子契約・契約管理から、企業のコアであるERPなどの基幹系システムまでもがクラウド化・SaaS化しています。金融機関においても、約9割が何らかの形でクラウド・SaaSを導入しています。

企業や機関がSaaSを利用する際には、データの保護や不正アクセスに対する対策が必須です。これは、クラウド環境で運用されるアプリケーションにおいて、情報の安全を確保するための必要最低限の基盤となります。

【参考】金融機関でのクラウドの利用状況をみると、調査先合計で９割超の先が何らかの形でクラウドやSaaSを利用しており、業態を問わず、クラウドが普及している「金融機関におけるクラウドサービスの 利用状況と利用上の課題について －アンケート調査結果から－」 2024 年 1 月（日本銀行 金融機構局）

SaaSセキュリティの最大の重要性は、データ管理にあります。個人情報や機密情報がネットワークを通じて扱われるため、適切な認証機能、ID、アクセス管理が必要です。これにより不正なログインを防止し、外部からの攻撃にも柔軟に対応できるシステムを構築できます。また、企業はSaaS選定時にセキュリティ機能の確認を怠るべきではありません。ユーザーアカウントの設定やアクセス権限の管理を適切に行うことで、多くのリスクを軽減できます。具体的には、増加傾向にあるサイバー脅威に対抗するための最新ソリューションの導入や、定期的なセキュリティ評価の実施が推奨されます。業種によっては、一般的な対策に加えて各種セキュリティガイドラインに則った追加対策が必要になることもあります。

【参考】政府も対策に乗り出す、増加し巧妙化するサイバー攻撃から日本の通信インフラや国民の生活を守るため設置されたサイバー統括室（内閣官房）

SaaSセキュリティは、現代の企業にとって不可欠な要素です。効果的な管理と対策を講じることで環境を強化し、安心してクラウドサービスを利用できるようになります。

SaaS（Software as a Service）は、ソフトウェアをクラウド（データセンター）上で提供するサービスモデルを指します。これにより、企業は自社端末にアプリケーションをインストールすることなく、インターネットを介してどこからでも便利な業務サービスを利用できます。

SaaSの導入により、従来主流であった自社内にサーバーを構築する「オンプレミス運用」が不要になります。初期構築やインフラ運用をSaaS提供事業者に任せることができるため、大幅なコスト削減と運用効率の向上が可能です。

出典：『ICTの新たな潮流に関する調査の請負』（総務省）

関連記事：オンプレミス型とは？メリット・デメリットやクラウド型との違いは？

クラウド環境では、サービスプロバイダーがソフトウェアの管理や保護を行い、ユーザーは必要に応じてデータにアクセスします。しかし、データセキュリティやプライバシーのリスクには適切な対策が求められます。高度なサイバー攻撃や不正アクセスに備えるため、堅牢な認証システムや継続的な監視が重要です。

実際の事例として、多くの企業がSaaSソリューションを利用して業務を効率化しています。特に、社外との協業やデータ共有の際にそのメリットが発揮されます。ユーザーは安全に構築された環境を利用でき、運用上の課題を効果的に解決できます。SaaSは現代のビジネスモデルにおいて欠かせない要素となっており、その可能性はますます広がっています。

【参考】クラウドサービスの国内市場の動向

現在のクラウド市場は、クラウドに移行しやすいWebシステムやパッケージアプリケーションを活用したシステムなどのクラウドマイグレーションのピークを過ぎたものの、レガシーシステムやスクラッチ開発された基幹系システムのクラウドマイグレーションが本格化2025年8月15日「IDC国内クラウド市場予測」（ IDC Japan）

【参考】クラウドサービスの海外市場の動向

MarketsandMarkets社の調査予測　世界のクラウドコンピューティング市場は2025年の約1.3兆ドルから2030年には約2.3兆ドルへ急速に拡大しCAGR（年平均成長率）は10%以上を予測。

「 Cloud Computing Market by Service Model (IaaS (Compute, Storage, Networking), PaaS (Application Development & Integration, Database & Data, Analytics & Reporting), SaaS (CRM, SCM, Collaboration & Productivity)), Impact of AI - Global Forecast to 2030 / クラウドコンピューティングの世界市場 (～2030年) -世界産業予測 日本語概要」（MarketsandMarkets）

SaaSの特徴と利点について

SaaSの特徴は、ソフトウェアがクラウド環境で提供される点にあります。ユーザーは常に最新のアプリケーションに容易にアクセスでき、企業は大規模なシステム構築の手間を省くことができます。この利点は特に、中小企業のコスト削減に大きく寄与します。

さらに、セキュリティ面でも優れた特徴を持ちます。データの保護や不正アクセスの防止はサービス提供者の責任で行われ、多くの場合、標準で強固な認証機能が提供されます。これにより、企業は自社でのデータ管理の負担を軽減しつつ、必要なセキュリティ対策を講じることが可能となります。

例えば、サイバー攻撃に対するインフラ対策を第三者（プロバイダー）に委託し、最新のセキュリティ技術を利用することで、業務の安全性を向上させることができます。適切なSaaSの選定によって、情報漏えいのリスクを大きく減少させることが可能です。

SaaSの利用例とビジネスへの影響

SaaSは、企業のビジネス運営において非常に重要な役割を果たしています。企業は従来のシステムに比べて低コストで、かつ迅速にシステムを導入することが可能です。

特にデータ管理やセキュリティ強化において、SaaSの利用は大きなメリットをもたらします。企業は高度なセキュリティ機能を持つSaaSを選定することで、サイバー攻撃や不正アクセスのリスクを軽減できます。

【参考】サイバー攻撃に関連する通信がダークネット観測開始以降で過去最多を記録し年々増加の傾向「NICTER観測レポート2025の公開」（NICT 国立研究開発法人情報通信研究機構 ）

実際に多くの企業が、機密情報を取り扱っている電子契約・契約管理や請求・受発注、人事管理、経費精算、プロジェクト管理ツール、CRM（顧客関係管理）などにSaaSを活用し、社内外の情報共有の促進と業務効率化を実現しています。アクセス環境が整うことで、利用者はテレワークなど異なる場所からも安全にアクセスできるようになります。

SaaSは企業に大きな可能性を提供し、運用の簡素化やコスト削減を実現するソリューションですが、同時にデータ保護の責任も伴うため、慎重な管理が求められます。

SaaSのセキュリティリスクは、クラウドサービスを利用する企業が無視できない重要な課題です。機密情報や個人情報がインターネットを介してアクセスされるため、不正アクセスや情報漏洩のリスクが高まります。

例えば、適切な認証手段やパスワード管理が施されていない場合、アカウントの乗っ取りや外部からの攻撃が発生しやすくなります。これに対しては、最新のセキュリティ製品・機能を導入し、常に設定を確認することが求められます。

企業は、自社の運用環境や利用するアプリケーションの特性を考慮し、リスク管理を徹底する必要があります。ログイン履歴の確認や、異常なアクセスの監視が効果的です。適切な対策を講じることで、安心してクラウドサービスを活用できる環境を実現できます。

代表的なSaaSセキュリティリスクの種類

SaaSのセキュリティリスクには様々な種類があります。代表的なものは「データ漏洩」です。不正アクセスや脆弱性を突いたサイバー攻撃により、企業の重要情報が外部に流出するリスクです。

次に「認証の不備によるリスク」があります。パスワード管理が不十分な場合、アカウント乗っ取りの可能性が高まるため、強固な認証機能の実装が求められます。
さらに「クラウド環境における設定ミスや運用上の課題」も挙げられます。誤った設定（ミスコンフィグレーション）が原因で、意図せずデータが公開状態になってしまう事例が後を絶ちません。定期的な設定の確認と管理体制が不可欠です。

【参考】「電子メールの不正中継（不正送信）」「ランサムウェアによる業務影響」が17.5％で最も高く、次いで「ID・パスワード管理不足等によるウイルス以外の情報漏えい」が16.7％ 「不正アクセス行為対策等の実態調査」 令和６年１２月（警察庁サイバー警察局）

【参考】コンピューターセキュリティインシデント報告の数、報告されたインシデントの総数および報告に対応して JPCERT/CC が行った調整の件数など「JPCERT/CC 四半期レポート」（一般社団法人 JPCERT コーディネーションセンター）

情報漏洩や不正アクセスに有効な認証機能と管理方法

SaaSの情報漏洩や不正アクセスに有効な認証・管理方法をまとめます。

1.不正アクセスを「入り口」で防ぐ：最新の認証機能
従来のID・パスワードのみの認証は「不十分」とみなされます。フィッシング耐性のある認証への移行が鍵となります。

　主な認証の種類

　　• ID/アクセス管理

       （IAM：Identity and Access Management / IDaaS：Identity as a Service）

　　　誰が、どのサービスにアクセスできるかを制御する最も基本的な対策。

　　• 多要素認証（MFA：Multi-Factor Authentication）

　　　 ID/パスワードに加え、SMSや認証アプリなどによる一時コードを要求し、なりすましを防ぐ。

　　• シングルサインオン（SSO：Single Sign-On）

　　　複数のSaaSへのログインを一元管理し認証強度を均一化する。

　主なセキュリティ機能

　　• IPアドレス制限認証

　　　社内ネットワークなど、許可された場所からのみアクセスを許可する。

         • デバイス認証

　　　クライアント証明書がインストールされた端末からのみアクセスを許可する。

　　• パスキー認証（FIDO2）

　　　生体認証（顔・指紋）やPINコードを利用し、パスワード不要で安全に認証する。

　　• プッシュ通知認証

　　　ログイン時にスマートフォンへ通知を送り、タップ操作で本人確認を行う。

　　• OTP認証（ワンタイムパスワード）

　　　1度だけ、または短時間だけ有効なパスワードを利用する。

　　• Cookie認証

　　　 対象Cookieを保持するブラウザからのみログインを許可する。

　　• ステップアップ認証

　　　 許可されていないIPからのアクセス時にのみ、多要素認証を追加で求める。

　　• リスクベース認証

　　　 アクセス元のIP、デバイス、位置情報、時間帯などを分析し、

　　　 不審なアクセスと判断された場合のみ追加の本人確認を求める。

　　※SIMスワップ対策：近年、偽造身分証等で携帯電話番号を詐取し、SMS認証を突破する手口が増加しているため注意が必要です 令和6年11月29日「不適正利用対策に関するワーキンググループ報告書」（総務省）

2.情報漏洩を「内部・連鎖」で防ぐ：ID管理と運用

IDの管理ミスは、IPA 独立行政法人情報処理推進機構の情報セキュリティ10大脅威でも上位の「内部不正」や「サプライチェーン攻撃」の直接の原因にもなっています。

　　主なID管理方法

　　• IDライフサイクル管理（プロビジョニング）

　　入社から退職・異動に伴うアカウントの作成・権限変更・削除を自動化・一元管理する仕組み。

　　• 外部IdP連携（SCIM/SAML）

　　外部のIDプロバイダー（IdP：Identity Provider）を利用し、SSOやユーザー情報の自動同期を行う。
　　• Active Directory連携：

　　社内のADで管理しているパスワードポリシー等の情報をSaaSと同期。

　　• Microsoft Entra ID（旧Azure AD）/ Microsoft 365連携

　　ログインを統合し、一度の認証で必要なサービスへ安全にアクセス。
　　Microsoft Entra ID でのシングル サインオンとは

　　• Google Workspace連携

　　 GoogleのID情報を利用して各種SaaSへのログインを統合。
　　Googleをサービスプロバイダとしてシングル サインオン（SSO）を設定

出典：SSO/IDaaSのGMOトラスト・ログイン

【SaaSとIdP・SSOの連携例】：基本機能無料のIDaaS「トラスト・ログイン by GMO」がSaaS/BPaaSの 電子契約・契約管理サービス「WAN-Sign(ワンサイン)」のシングルサインオンに対応（株式会社NXワンビシアーカイブズ・GMOグローバルサイン・ホールディングス株式会社・GMOグローバルサイン株式会社）

【参考】サプライチェーン攻撃の脅威～その対策となるクライアント証明書とは～（GMOグローバルサイン株式会社）

SaaS単体では高度なセキュリティ対策が難しい場合でも、IdPやSSOとの連携によって、簡単かつ短期にセキュリティレベルを引き上げることが可能です。

定期的なリスクチェック（セキュリティ診断とホワイトハッカーによる診断）

複雑化・高度化するサイバー攻撃に対し、SaaSとセキュリティ対策ツールを導入しただけでは不十分です。定期的なセキュリティ診断テストやホワイトハッカーによる侵入診断は、「実際に攻撃されたらどうなるか」をリアルに検証するための重要なプロセスです。

システムには、設定の不備など自分たちでは気づきにくい脆弱性が潜んでいることがあり、放置すれば重大な被害につながります。攻撃者と同じ視点で脆弱性を洗い出し、悪用される前に対策を打つことが安全な運用に欠かせません。

【参考】ホワイトハッカーやセキュリティ診断とは？

ホワイトハッカーは多様化するサイバー攻撃から、政府や企業・組織などを守る専門人材サービス 2025.06.09（GMOインターネットグループ株式会社）

ホワイトハッカーとは、疑似攻撃やリサーチ等、攻撃技術について調査やテストをしてシステムを守る人です。ホワイトハッカーやアナリストと呼ばれます「サイバーセキュリティ職業紹介」（特定非営利活動法人 日本ネットワークセキュリティ協会）

セキュリティ診断サービスの基本から必要性、代表的手法の違いと選び方、診断の進め方、ベンダー依頼時の確認ポイント、診断後の対策「セキュリティ診断サービスとは」 2025.09.10（GMOサイバーセキュリティ byイエラエ株式会社）

セキュリティリスクの評価方法と重要性

クラウドサービスの導入が進む中、企業はリスク評価を通じてシステムの脆弱性を理解し、対応策を構築する必要があります。

まずはリスクの特定と評価を行います。アクセス管理や認証機能の確認を行い、導入したセキュリティソリューションが有効か、リスクの発生確率はどの程度かを分析します。SCM（サプライチェーンマネジメント）に係る事業分野によっては、業界固有の評価基準が定められていることもあります。

最後に、定期的なレビューと改善が求められます。環境の変化や新たな攻撃手法を考慮し、常に最新の状態を維持することが、ビジネスの継続性確保に繋がります。

【参考】 なぜ企業にサイバーセキュリティ戦略が必要なのか ― サイバーリスクマネジメントに経営の意思を吹き込む ―2026 年 3 月「JCICシンクタンクレポート」(一般社団法人 日本サイバーセキュリティ・イノベーション委員会)

適切なSaaSセキュリティ対策の実施方法

SaaS環境は多くのユーザーがアクセスするため、脆弱性が生まれやすい側面があります。社外とのデータ共有を行う場合も特に注意が必要であり、万が一情報が漏洩すれば企業の信用失墜に直結します。

クラウドサービスを導入する企業は、複数の対策を多層的に（多層防御）実施することが推奨されます。定期的なセキュリティ監査やログイン履歴の確認、各サービスが提供するセキュリティ機能をフル活用した設定の見直しが効果的です。将来を見据えた運用を行うことで、サイバー脅威に対する高い対応力を維持できます。

SaaS提供事業者のセキュリティやデータ保全に関する認証基準

SaaS提供事業者のセキュリティ基準は、サービス選定時の重要な要素です。提供企業がサイバー攻撃に対する防御策を講じ、高度なシステムを構築しているかどうかが鍵となります。
例えば、ユーザーログインを保護する二要素認証や、監査ログの取得機能などを提供している企業は、不正アクセスのリスクを大きく減少させることができます。セキュリティ基準を遵守し、情報保護の責任を果たすSaaS提供事業者を選ぶことが重要です。

SaaS提供事業者のセキュリティ基準と選定ポイント

SaaS環境では機微データがクラウド上に保存されるため、企業は以下の「2軸」でプロバイダーを選定することが重要です。

1.システムの運用面

SaaS提供事業者が、どのような認証環境下でデータセンターやサーバー基盤を安全に運用し、データ保全を行っているか。

2.提供される機能面

認証管理、アクセス制御、通信やデータの暗号化、監査ログの取得、リアルタイムの脅威検知機能などが備わっているか。

これらのポイントを踏まえてSaaS提供事業者を選定することで、自社の機密データをしっかりと保護し、安心して業務を進めることができます。

日本国内のSaaSセキュリティ認証

SaaS提供事業者の信頼性を図る上で、以下の認証・認定制度の取得状況が一つの指標となります。

SaaSに関連する主なセキュリティ系認証・認定制度

・ISMS「ISO/IEC 27001」

情報資産（データやシステム）をリスクに対して適切に保護し情報セキュリティに関する管理体制を構築・運用・維持・改善する。

・ISMS「ISO/IEC 27017」

クラウド特有のリスク（データの共有、アクセス管理、データの分離など）に対応しクラウドサービスの安全性を高め、利用者に信頼性を提供する。

・ISMS「ISO/IEC 27018」

個人データ保護を中心に、クラウドサービス提供者が適切にデータを取り扱うことを確保、プライバシー保護に関する信頼性を示す。
（一般社団法人情報マネジメントシステム認定センター）

・総務省情報開示指針に基づく「ASP・SaaSの安全・信頼性に係る情報開示認定制度」

総務省の「クラウドサービスの安全・信頼性に係る情報開示指針」（平成23年３月　総務省）に基づく適切な情報開示を行い、かつ一定の要件を満たしている認定制度
（ASPIC 一般社団法人 日本クラウド産業協会）
総務省「クラウドサービス提供における情報セキュリティ対策ガイドライン（第3版）」2018 年 7 月に第 2 版として発行されたガイドラインは、ASPIC「ASP・SaaS における情報セキュリティ対策ガイドライン（2008 年 1 月）」及び「クラウドサービス提供における情報セキュリティ対策ガイドライン（2014 年 4 月）」を統合。

・CSマーク「クラウド情報セキュリティ監査」

事業者が行うべき情報セキュリティマネジメントの基本的な要件（基本言明要件）を定め、基準に基づき評価し安全性が確保されていることを示す。
（JNSA 特定非営利活動法人日本セキュリティ監査協会）

・SOC2 / SOC2+ (セキュリティ・監査報告書)

SOC2（Service Organization Controls 2）は、米国公認会計士協会（AICPA）が定めた、クラウドサービスや受託企業におけるセキュリティ管理体制（セキュリティ、可用性、機密性など）が適切に機能しているかを第三者機関が監査・保証する報告書枠組み

・ISMAP「政府情報システムのためのセキュリティ評価制度」

政府情報システムのためのセキュリティ評価制度（Information system Security Management and Assessment Program: 通称ISMAP（イスマップ）は、政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準を確保
(国家サイバー統括室・デジタル庁・総務省・経済産業省所管の元、IPA 独立行政法人情報処理推進機構が管理・運用)

・TRUSTe「トラストイー」
（一般社団法人日本プライバシー認証機構）

SaaSを運営する主な組織認証

・プライバシーマーク「Pマーク」
（JIPDEC 一般財団法人日本情報経済社会推進協会）

・ISMS「ISO/IEC 27701」
（一般社団法人情報マネジメントシステム認定センター）

その他のSaaSの品質管理や可用性など

・ISO9001「品質マネジメントシステム（QMS：Quality Management System）」

一貫した製品・サービスを提供し、顧客満足を向上させるためのマネジメントシステム規格
（JQA 一般財団法人日本品質保証機構）

・ISO 22301「事業継続」

さまざまな脅威から事業を守り早期の復旧と再開を実現するためのマネジメントシステム規格
（JQA 一般財団法人日本品質保証機構）

【参考】クラウドサービスに関連する 国内外の制度・ガイドラインの紹介 2024年7月12日（JIPDEC 一般財団法人日本情報経済社会推進協会）

クラウドサービス(SaaS)のデータ保全とサービス提供方法

クラウドサービス（SaaS）で利用するデータ・ファイルなどの情報は、SaaS提供事業者側の基盤で保管・運用されます。バックアップやBCP対策のためのシステム2重化や遠隔地へのデータ保護も含めSaaS提供事業者が実施しています。SaaS提供事業者が自社でデータセンターを所有し運営しているケースから、外部のデータセンター事業者からネットワーク・サーバー機器やデータセンター施設や設備を一部借りて、そのデータセンター上でSaaSのサービスを稼働させて提供しているなど、SaaS提供事業者によって運営方法は様々になります。

データセンターの運営形態はSaaS提供事業者によって異なり、主に以下のケースがあります。

①外部インフラ利用型(借用)

外部のクラウド基盤やデータセンター事業者からサーバーや施設、ネットワーク機器類を借りてサービスを提供。データ主権が借用先の事業者に左右される可能性があります。施設設備などのロケーション情報が完全非開示になっており実地監査が難しいケースが殆どになります。

【参考】「セキュリティ・バイ・デザイン」を実現できるように、「建物」「設備・システム」そして「運用」についてデータセンターのセキュリティに関する様々な情報を網羅的に提供。資源の集約と共有： データセンターでは建物、電源、空調、ネットワーク、セキュリティといったインフラ機能やそれを提供する設備を、複数の利用者・事業者の情報システムにおいて共有することにより、運用コストの削減等を同時に実現しています。「データセンター セキュリティガイドブック2017年版の公開」 2017年10月（JDCC 日本データセンター協会 セキュリティワーキンググループ）

②自社データセンター型

国内のSaaS提供事業者が自社で土地・施設建物・運用要員・機器類などのデータセンターを所有・運営。完全に自社コントロールによるデータ保全が可能であり、データ主権に係る問題が発生しにくい傾向があります。日本国内事業者による所有・運営だと条件次第で実地監査などの受け入れも可能です。

関連ページ：ＮＸワンビシアーカイブズのデータ保全・データ主権の強み

業務リスクや機密レベルによるサービスの選択

データセンターの立地は、利便性重視の都心型から、災害対策重視の郊外型まで様々です。かつて「FISC（金融情報システムセンター）の安全対策基準」では、直下型地震を考慮し都心から60km以上離れた場所が推奨されていました。現在ではインフラの進化により基準は緩和されましたが、東日本大震災での想定外の実害範囲もあり災事などの地理的リスクへの考慮は依然として重要です。

【参考】火山噴火によって建物屋上などに設置された空調装置の室外機等が降灰で目詰まりする可能性がある。空調装置が不調になると、例えばデータセンターなどの稼働にも影響が生じる恐れがあるため、不測の事態に備えておく必要「首都圏における広域降灰対策について」（内閣府 防災担当）

【参考】通信などのライフライン事業者が行う火山噴火の降灰対策の方向性として碍子清掃装置の配備などが策定 令和5年12月22日「大規模噴火降灰対応指針 概要」（東京都）

【参考】大規模噴火が発生した場合、首都圏を含む地域が広く降灰に見舞われ国民生活や社会経済活動に大きな影響を及ぼすことが懸念されます。東京都及び内閣府が共同で東京都をモデルケースとして、関係機関が連携して具体的な広域降灰対策を協議 令和8年3月25日「首都圏における広域降灰対策具体化協議会」（東京都）

関連記事：データセンターの場所が大切～選定のポイントを学ぶ～

企業や機関の機密性の高い契約書データや個人情報などを取り扱う、電子契約・契約管理から、会計財務・販売管理・購買調達・電子請求・文書管理など多様なクラウドサービス(SaaS)が展開されていますが、業務に合わせたそれぞれの運用リスクやデータ保全レベルなど考慮が必要になってくると思われます。

これから導入・検討されるクラウドサービス(SaaS)について、様々な業務サービスがありますが、業務上の性質や「データの重要度」・「機密性」によりSaaS提供事業者の選定が必要になります。

経済安全保障とデータ保全・データ主権の関係性

昨今では経済安全保障の観点から、「データがどの国の法律の支配下に置かれているか（データ主権）」と、「データがリスクから常に安全に守られているか（データ保全）」の両方を確保することが企業や組織がクラウドサービス（SaaS）を安全に利用するためにも最も重要視されています。また、国家がデータや生成AI・システムを戦略資源として扱う現代ではクラウドサービス（データセンター/サーバー）が標的となっています。紛争時などの情報戦(IW：Information Warfare)による地政学リスクからデータ・システムを抑えることは各国において重要な戦略にもなっています。

【参考】米国ＡＷＳ（アマゾン・ウェブ・サービス）のＵＡＥとバーレーンのデータセンター施設が無人機攻撃で損傷しクラウドサービスが中断 2026年3月2日（Thomson Reuters）

【参考】中東でデータセンターに攻撃の応酬－イラン、米アマゾンの施設攻撃・AI時代の戦争、新たな標的に 2026年3月6日（Bloomberg）

国産クラウド基盤によるデータ保全やデータ主権の安全性

生成AIの普及や経済安全保障の重要性が高まる中、なぜ「日本国内にデータを置くこと」がデータ主権にとって重要な戦略になるのか、その核心に迫ります。DX（デジタルトランスフォーメーション）が進む一方で、私たち（企業・機関・国民情報）の「データ」をどこに預けるべきかという議論が再燃しています。

1.「データ主権」とは何か？見えない法的リスクを回避する
「データは物理的に置いてある場所の法律に従う」という原則があります。これがデータ主権の基本的な考え方です。

• 外国法の影響

外資系クラウド（データセンター基盤含む）を利用している場合、たとえデータセンター（サーバー）が日本国内にあったとしても、運営会社の母国の法律（例：米国のクラウド法「CLOUD Act」）によって、外国政府からデータの開示を命じられるリスクがゼロではありません。

• 国産クラウド基盤の強み

日本企業が国内で運営する国産クラウドであれば、適用されるのは日本の法律が主となります。機密情報や個人情報を「日本のルール」だけで守り抜けるという安心感は、コンプライアンス上、極めて大きなメリットとなります。

関連記事：『日本電気株式会社（NEC）出身で情報セキュリティ分野・AI（機械学習）等の研究開発にも従事してきた弁護士が監修』 電子契約サービスも関係する米国クラウド法(米CLOUD Act：海外データ合法的使用明確化法)とは～クラウドサービス(SaaS)におけるセキュリティ・データ保全体制～

2.「経済安全保障推進法」への対応
日本の企業にとって無視できないのが経済安全保障推進法です。
政府は、SCM（サプライチェーンマネジメント）や機能停止や低下が国民生活・経済に甚大な影響を及ぼす重要な基幹インフラ（物流、金融、航空、空港、鉄道、電力、ガス、情報通信、政府・行政サービス、医療、水道、化学、クレジット、石油など）に対して、サイバー攻撃による混乱を防ぐための厳しい基準を設けています。国産クラウド基盤は、この国の指針に沿った運用設計がなされていることが多く、以下の重要インフラ指定を受けている企業や機関にとっても安全な選択肢となります。

・特定重要物資や基幹インフラの安定的な供給確保

政府は国民の生存に必要不可欠な又は広く国民生活・経済活動が依拠している重要な物資について、特定重要物資として指定「重要物資の安定的な供給の確保に関する制度」（内閣府）

・サイバーインフラ事業者

社会基盤として経済や国民生活に甚大な影響を及ぼす重要な基幹インフラ（物流、金融、航空、空港、鉄道、電力、ガス、情報通信、政府・行政サービス、医療、水道、化学、クレジット、石油など）に対してソフトウェア・サービス・システムなどのデジタル基盤を開発し供給・運用する企業の役割「サイバーインフラ事業者に求められる役割等に関するガイドライン」 2026年3月31日（経済産業省）

3.日本特有の災害・リスクに強い「データ保全」
日本は地震や台風といった自然災害が多い国です。国産クラウド基盤は、日本の地理的特性を考慮したレジリエンス（回復力）を備えています。

• 国内リージョン間バックアップ:

東京と大阪などそれぞれの地域特性を活かした、国内の遠隔地でデータを同期・保管することで、大規模災害時でも業務を継続できる体制が整っています。

• 迅速な物理サポート:

万が一のトラブル時、指揮系統や権限は日本国内(日本企業)にあり、物理的な距離などもなく日本語で意思疎通ができる「顔の見えるサポート」は、イレギュラーである有事の際の復旧速度に直結します。

関連ページ：ＮＸワンビシアーカイブズのデータ保全・データ主権の強み

「データは企業・機関・国民の資産」
この意識を持つとき、国産クラウド基盤という選択肢は、単なるインフラ選びではなく、将来に向けた最も価値のある「信頼への選択肢」になるはずです。

ここで、国産クラウド基盤で稼働するSaaSの一例を上げたいと思います。企業や機関で利用され、特に機密性の高い契約書データや個人情報などの機微情報を取り扱う電子契約・契約管理サービスにおいて、国産クラウド基盤をセキュリティ・データ保全・データ主権の指標として選定されたユーザー例になります。

・日本通運、電子署名を活用した電子契約・契約管理サービス「WAN-Sign」を全社導入
その他多数の重要インフラ指定の業界業種へ導入

内閣府により策定されたサプライチェーン強靱化の取組「重要物資の安定的な供給の確保に関する制度」の規定分野である重要インフラの物流や電気、ガス、石油、水道、鉄道、貨物自動車運送、外航貨物、航空、空港、電気通信、放送、郵便、金融、クレジットカードから政府機関・地方公共団体など、多数の社会インフラやSCM(サプライチェーンマネジメント)を支える企業や機関に採用されている電子契約・契約管理サービスになります。

関連ページ：国産クラウド基盤で稼働する電子契約・契約管理サービス「WAN-Sign」事例
関連ページ：ＮＸワンビシアーカイブズ、埼玉県警察・滋賀県警察と「技術情報流出対処訓練」を実施。技術情報を含む重要情報の保護および関係機関と定期的に連携強化

4.近年の新潮流：生成AIとデータ主権
今、最も熱いのが「AIの学習データ」の扱いです。
自社の独自のノウハウや顧客データをAIに学習させる際、そのデータが海外のクラウド/サーバーに送られ、意図しない形で再利用されることを防がなければなりません。「国産クラウド基盤上の閉域網でAIを動かす」ことは、プライバシー保護や知的財産流出を防ぎながら最新技術を活用するための、最も安全な最適解となっています。

関連ページ：ＮＸワンビシアーカイブズだからできる最高水準のセキュリティと低コストの電子契約・契約管理サービス「WAN-Sign」のセキュリティ・認証

効果的なSaaSセキュリティ管理としてのガイドライン・規制対策や評価制度

効果的なセキュリティ管理には、適切なガイドラインの策定と規制・法律面への対応が不可欠です。
SaaS環境ではデータがネットワーク越しにアクセスされるため、二要素認証などの強固な認証手段や定期的な設定確認、ユーザーアクセスの監視が求められます。事前に対策を講じておくことで、サイバー攻撃が発生した際も被害を最小限に抑えることが可能です。

SaaSセキュリティガイドラインの概要

SaaSセキュリティガイドラインは、企業がクラウドサービスを安全に利用するために必要不可欠なリスク管理手法を提供します。システム面から法的側面までを含めた包括的な対応が重要になります。
認証機能による外部からの攻撃リスク軽減に加え、データの取り扱いルールの策定が求められます。機微情報に対する厳重なアクセス権限の設定により、内部不正やデータ漏洩のリスクも同時に削減できます。

クラウドサービス提供における情報セキュリティ対策ガイドライン

総務省やIPA独立行政法人情報処理推進機構セキュリティセンターなどが発行するガイドラインは、クラウドサービスを安全に利用・提供するための指針を示しています。インターネットを介してデータがやり取りされる特性上、複数段階の認証や定期的なログ監査など、具体的な対策要件がまとめられています。企業はこれらを参考にして自社の運用環境を整備することで、クラウドサービスのメリットを安全に享受できます。

クラウドサービス導入の対策基準やガイドライン、評価制度の例

以下は、各省庁や機関が定めている業界特化型、または一般的な導入ガイドラインの例です。

・金融機関等におけるクラウド導入・運用に関する安全対策基準（FISC公益財団法人 金融情報システムセンター）

・金融分野におけるサイバーセキュリティに関するガイドライン（金融庁）

・輸送・物流などの重要インフラにおける情報セキュリティ確保に係るガイドライン（国土交通省）

・重要インフラとしての医療情報システムの安全管理に関するガイドライン（厚生労働省）

・政府情報システムの整備及び管理に関するルールのためのデジタル社会推進標準ガイドライン（デジタル庁）

・中小企業の情報セキュリティ対策ガイドライン（IPA 独立行政法人情報処理推進機構セキュリティセンター）

・SCM（サプライチェーンマネジメント）の基幹流通の停止など取引関係先がビジネスに影響を与えるようなサプライチェーン攻撃やサイバー攻撃事案が頻発しており、SCM（サプライチェーンマネジメント）全体でのサイバーセキュリティ対策の強化が求められています。サプライチェーンを構成する企業のセキュリティ対策状況を共通の基準で評価・可視化することで、委託元企業・委託先企業双方の負担を軽減しつつ、サプライチェーン全体のセキュリティ水準の底上げを図る仕組みとしてセキュリティ対策評価制度（SCS評価制度）が位置付けられました。
「サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）に関する制度構築方針」 2026年3月27日（経済産業省）

セキュリティやサイバー法など法的側面のサポートの重要性

近年では、物理的・技術的なセキュリティ対策だけでなく、法的側面での対策も重要になっています。セキュリティ事故やサイバー攻撃の増加に伴う社会インフラ基盤の停止などもあり、新たな法律も施行されており、ITシステムベンダーやSIer以外にも弁護士など専門家による法的サポートの必要性が高まっています。

【参考】サイバーセキュリティと法務「普及啓発・人材育成専門調査会」（内閣官房 NCO 国家サイバー統括室）

関連法案の例

・重要電子計算機に対する不正な行為による被害の防止に関する法律「能動的サイバー防御法(サイバー対処能力強化法)」（内閣府）

・不正アクセス禁止法：不正アクセス行為の禁止等に関する法律 令和7年6月1日 施行（法務省 e-Gov 法令検索）

・サイバーセキュリティ基本法：重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律 令和7年7月1日 施行（法務省 e-Gov 法令検索）

・SCM（サプライチェーンマネジメント）上の様々なリスクに対応するための防衛生産基盤強化法（防衛省）

・経済安全保障推進法に基づく機微技術の流出防止-特許出願の非公開制度 （特許庁）

・個人情報保護法：サイバー攻撃による情報漏えいリスクなど企業に安全管理措置と個人データの保護を担保する法的基盤 法令・ガイドライン等（PPC 個人情報保護委員会）

技術的なセキュリティ対策だけではカバーしきれない組織の責任や義務を管理するため、サイバーセキュリティ法務は不可欠です。ITシステム部門やセキュリティ対策チームだけでなく、法務から知的財産、経営企画、広報、人事など、組織全体で取り組む体制づくりが求められます。

関連記事：サイバーセキュリティ法務やコンプライアンス体制を支援する契約・法務BPaaS型のALSP(代替法務サービスプロバイダー)

関連記事：知的財産権とは？種類や重要性、取得手続き、適切な保護・管理の方法を解説

セキュリティ対策がされたSaaS提供事業者の選び方と注意点

SaaS提供事業者を選ぶ際は、以下のポイントを必ず確認しましょう。

1.セキュリティ管理機能の充実度： アクセス管理やログ監視などが要件を満たしているか。

2.認証とパスワードの管理体制： 多要素認証（MFA）やSSOに対応しているか。

3.システムの運用環境： どのようなクラウド基盤・データセンター（自社/外部）で、どのようなデータ保全やサイバー脅威対策、経済安全保障のリスク対策を講じているか。

4.セキュリティ認証の取得状態：サービス/運営組織の単位での認証有無の確認

自社のセキュリティニーズ（機密レベルや準拠すべき業界ガイドライン）に合致したサービスを選ぶことが、安全で信頼性の高い環境構築への第一歩です。

SaaS環境におけるセキュリティの未来は、生成AIなど急速に進化するテクノロジーと深く結びついています。サイバー攻撃の脅威が増加する中、パスワードの複雑化や多要素認証といった基本対策に加え、異常なアクセスを即座に検知するAIの活用など、新たな技術の導入が鍵となります。

【参考】サイバーセキュリティ特集ページ（公安調査庁）

【参考】脅威具体例（一般財団法人 日本サイバー犯罪対策センター）

企業は常に最新の脅威トレンドを把握し、継続的にセキュリティ対策をアップデートしていく責任があります。

今後のSaaSセキュリティのトレンド予測

今後のトレンドとして、企業にはより高度な「ゼロトラスト（何も信頼しない）」を前提としたリスク対策が求められます。

【参考】ゼロトラストの全体像を俯瞰し、戦略的にセキュリティの取り組みを進めることが重要「Gartner ゼロトラストの最新トレンドを発表」 2025年5月8日（ガートナージャパン株式会社）

ゼロトラストセキュリティ対策も必要ですが、特定のセキュリティソリューションの１つに依存するのではなく、新しいセキュリティアプローチであるホワイトハッカーなど第三者によるセキュリティ診断の活用や、 IDaaS（Identity as a Service）/IAM（Identity and Access Management）によるID管理の徹底、CASB（キャスビー：クラウドセキュリティブローカー）によるSaaS・クラウドサービスへのアクセスの可視化や不正アクセスによるデータ流出の阻止、SSO（シングルサインオン）でのパスワードの使いまわし防止など、複数の製品を組み合わせた多層防御の構築が主流となるでしょう。

企業が取り組むべき新たなセキュリティ対策

クラウドやSaaS環境の普及に伴い、企業はこれまでの「境界防御（社内ネットワークの出入り口を守る）」から、ID（アカウント）自体を境界とみなす対策へとシフトする必要があります。

サードパーティから提供されるセキュリティソリューションの選定においても、単なる利便性だけでなく、FIDO2（パスキー）対応やリスクベース認証など、最新のセキュリティ要件を満たしているかを評価することが不可欠です。無償SaaSアプリなど気軽に導入ができるSaaSソリューションによって導入が乱立し入り口が増えてしまっています、このような根本からの問題にも対処が必要になるためシャドーIT管理によってリスクを排除することも有効にもなります。

セキュリティ強化のための最新技術導入事例

クラウドやSaaSを活用した最新の導入事例として、通信や情報（データ・ファイル）の暗号化や多要素認証の必須化により、社外からでも安全に社内データにアクセスできるテレワーク環境を構築したケースが多く見られます。

テレワークの普及に伴い遠隔作業のための暗号化や通信制御であるVPN（仮想プライベートネットワーク）の利用が拡大しましたが、クラウドサービス(SaaS)浸透によるインターネットトラフィックの増加やレガシーVPNを狙った脆弱性などの課題もあり、その選択肢からセキュリティ強度を高めたZTNS(ゼロトラストネットワークアクセス：Zero Trust Network Access)/SASE（Secure Access Service Edge）へのシフトも出てきています。

また、生成AIを活用してログイン試行やアクセス履歴を24時間監視し、ランサムウェア等の不審な動きを自動で検知・遮断するセキュリティソリューションの導入も進んでいます。こうした最新技術を適切に組み込むことで、企業は業務効率を落とすことなく、セキュリティ対策やサイバー脅威に対する防御力を飛躍的に高めることができます。

まとめ

ここまで、国産クラウド基盤でのデータ保全やデータ主権などの最新情報から、SaaS・クラウドサービスのセキュリティの最新動向ガイドなどをお伝えしました。

サイバーセキュリティ法務への対応や現状の法務・コンプライアンスや知的財産の課題解決へ向けて法務DX・リーガルテックの導入を検討しているご担当者様には、企業法務をアウトソーシングする新時代の法務DX「クラウドリーガル」がおすすめです。

関連記事：法務やコンプライアンス支援を提供するリーガルテックとは

生成AIなどの先端テクノロジーと弁護士・専門士業(司法書士/弁理士/行政書士/社会保険労務士/税理士)のスケール体制を融合させることで、法務業務や契約業務を支援いたします。クラウド上での契約書の作成・契約書のレビュー(リーガルチェック)・法務や知的財産・労務・税務の相談、法令調査（リーガルリサーチ）や法令適合性審査、社内規程整備・作成、広告審査・薬機法チェック、知的財産権の商標登録・調査、会社設立(新規設立・子会社等)、株主総会・取締役会の運営サポートや株主対策、内部通報窓口(法令違反、ハラスメント等)、労務や税務サポート、資本政策（ファイナンス）、法務デューデリジェンス(DD)、IPO準備支援などの幅広いサービスを、月額料金でご利用いただけます。法務部門のご担当者様は、どうぞお気軽にお問い合わせください。

契約・法務BPaaSの企業法務アウトソーシングサービスALSP「クラウドリーガル」と国産クラウド基盤で稼働するＮＸワンビシアーカイブズの提供する電子契約・契約管理サービス「WAN-Sign」や「AI契約管理」「機密文書保管」「電子化(スキャン代行)」「機密書類抹消」「電子帳簿保存」「契約事務BPOサービス」と組合せることで法務DXの最大化を実現します。

契約書レビュー&契約書作成&法務相談もできるリーガルAI×弁護士体制がつくる、契約・法務BPaaSで国内初の企業法務アウトソーシングサービスALSP（代替法務サービスプロバイダー）「クラウドリーガル」

⇒お問い合わせ

⇒資料ダウンロード