SaaS プロバイダまたはアプリケーションによってバックアップの必要性が緩和されると考えているとしたら、それは間違いです。残念ながら、そのように考える人は少なくありません。Microsoft Office 365 や Salesforce などの SaaS サービスを使用する多くの企業が、データに対して SaaS バックアップとディザスタリカバリを導入していないことはよくあります。
その理由は、多くの企業が、SaaS プラットフォームであれば、ソフトウェアプロバイダがクラウド内の自社データを保護しているとセキュリティに対して誤った意識を持っているためです。サードパーティの SaaS ベンダーがサービスに対してバックアップとリカバリを提供していると考える企業もありますが、そのような事実はありません。
データと情報に対する責任は常に顧客側にあります。したがって、SaaS サービスの管理を他に任せたからといって、管理およびコンプライアンスの観点での保護から解放されるわけではありません。
データのセキュリティに対する責任の所在について誤解が広まっているため、SaaS バックアップを実行している企業はごくわずかです。しかし、どのように考え、どのように期待しようと、自動的にデータがクラウドサービスプロバイダによってバックアップされることはありません。クラウドサービスプロバイダの責任ではないからです。ほとんどの人がこれを見落としているのです。
顧客が誤りまたは悪意による削除によってクラウド内のデータを失った場合、リストアするのは Microsoft 365、Salesforce、または Slack ではありません。SaaS プロバイダの責任は各社のソフトウェアまでであり、そこに保存されている情報やデータは対象ではありません。保証されるのはアプリケーションとそれを支えるインフラの稼働時間だけです。
したがって、企業や組織は SaaS バックアップとディザスタリカバリを導入してクラウド内のデータを保護する必要があります。
クラウドコンピューティングには、ユーザーがインターネット経由でアクセスするさまざまなツールとサービスが含まれています。クラウドテクノロジーは、コンピューティングリソースの需要増加にその機能を活用して即座に対応することを特長としています。それによって、手間のかかる長期の開発サイクルが短縮され、広範な IT インフラ設備の費用が不要になります。
SaaS は、3 つのクラウドコンピューティングサービスモデルの 1 つです。
IaaS (Infrastructure-as-a-Service): IaaS 企業は、従量課金制のコンピューティング仮想化、ネットワーク構築、ストレージなどのサービスを提供します。オンプレミスインフラに代わるクラウドベースのインフラが顧客に提供されるため、コストのかかるオンサイトリソースへの投資が不要になります。IaaS 企業の例には、Amazon Web Services (AWS)、Google Cloud Platform (GCP)、Digital Ocean があります。
PaaS (Platform-as-a-Service): PaaS は、迅速なアプリケーション開発を可能にするコア機能を備えた追加のフレームワークとツールを IaaS 上で提供することを提案します。PaaS プロバイダの例には、Heroku、Twilio、OpenShift があります。
SaaS (Software-as-a-Service): SaaS プラットフォームは、エンドユーザーがソフトウェアを直接利用できるようにします。コンピュータ上のインストールと実行を必要とせず、インターネットを介して実行できるアプリを提供します。このサービスモデルでは、ユーザーは、「パッケージ版」製品を購入、インストール、または管理することなく、管理情報システムを構築できます。開発者は、PaaS および IaaS モデル上に SaaS を構築します。SaaS プラットフォームの例には、Microsoft 365、Salesforce、Dropbox、Box、Google Workspace (旧 G Suite) があります。
クラウドコンピューティングでの SaaS について理解したら、次に SaaS バックアップが何を意味するのかを見ていきましょう。
SaaS バックアップソフトウェアとは、SaaS 製品が作成するデータを保存および保護するテクノロジーです。SaaS 製品とは、サードパーティベンダーによってライセンス供与され、オンプレミスにインストールされるのではなくクラウド経由で提供されるソフトウェアを指します。
SaaS バックアップソフトウェアは、データを二次的な場所 (オンプレミスまたは多くの場合パブリッククラウド) に保存します。そのため、SaaS 製品で障害が発生しても、顧客の情報は安全に保存されます。SaaS 製品で何らかの理由で障害が発生した場合、顧客は SaaS バックアップソリューションによって保存されたデータをリカバリして、障害が発生した SaaS 製品を稼働状態に戻します。
SaaS 製品が生成するデータを保存するには、SaaS バックアップソフトウェアとその製品の統合が必要です。つまり、すべてのバックアップソフトウェアがどの SaaS 製品とも互換性があるとは限りません。このため、多くの SaaS バックアップソリューションは、Google Workspace や Microsoft 365 などの個々の製品スイート専用になっています。
その他の SaaS バックアップサービスは、包括的な見地からさまざまな SaaS ソフトウェアとの統合を目指していますが、特定の SaaS 製品スイートをバックアップするプロバイダが利用できる機能が不足しています。
多くの SaaS バックアップソリューションの機能は、バックアップ対象のソフトウェアに関連するものであり、そのソフトウェアに固有の機能です。たとえば、メールシステムと統合するための SaaS バックアップソフトウェアは、メール向けのデータアーカイブ機能を備えています。ただし、次のような主要機能は大半の SaaS バックアップソフトウェアに含まれています。
SaaS 製品の統合
データの暗号化
データのリストア
オンプレミスまたはクラウド経由でのデータ保存
データの監査と検索
現在、多くの SaaS バックアップベンダーが SaaS 保護またはクラウド間バックアップを提供しています。この方法は、コピーを作成して AWS などの別のパブリッククラウドへ保存することによって、Salesforce、Dropbox、Microsoft Office 365 などの SaaS アプリ内のデータを保護するものです。一部のベンダーでは、コピーをオンプレミスのデータシステムに保存しています。
顧客の多くは、SaaS データが重要でないからバックアップは不要だと考えているのではありません。サービスプロバイダがバックアップ自動化 SaaS サービスをサービスパッケージの一部として提供すると考えているのです。
SaaS プロバイダが保証するのはユーザーの稼働時間のみであり、誤って削除または破壊された個々のファイルとデータをリストアできる個別バックアップは保証されていません。
SaaS ベンダーは、システム全体のレベルでデータのバックアップコピーを作成して停止、データ破損、および攻撃に対する保護を提供しています。このような場合、整合性のある状態に戻し、稼働を維持することができます。ただし、これらの SaaS ベンダーには、SaaS ソフトウェアにログイン済みのユーザーによって変更または操作されたデータが有効であるかどうかは判断できません。
SaaS 保護を従来のバックアップアプリに統合することはできますが、クラウドネーティブのデータをバックアップするように設計されている製品が市販されています。
企業がビジネスアプリケーションをクラウドへ移行することを決定した場合、導入には課題が伴うことを理解する必要があります。したがって、クラウドへの移行を計画する際、SaaS バックアップ戦略が必要になります。
まず、移行の理由を検討する必要があります。次に、クラウド影響分析を実施し、コストを把握して予算を確保し、必要不可欠なコンプライアンスおよびセキュリティ要件を特定し、移行前、移行中、および移行後に綿密なエンドユーザートレーニングを実施します。
移行が成功したら、新しい場所でデータを保護する方法を検討する必要があります。Salesforce、Microsoft 365、Google Workspace などのアプリ内の SaaS データには、これまでオンプレミスで実行し保存していたアプリと同様の適切なバックアップおよびリストア戦略が必要です。
SaaS クラウド環境に移行する前は、データとアプリをオンサイトに保存し管理していたと思われます。ミスや損失が発生した場合は、IT チームにバックアップドライブを起動させ、要求した特定の日付のデータを引き出し、手動でのリロードが可能であったでしょう。
しかし、クラウド移行後は、オンプレミスの場合のようにデータを操作することはできなくなります。このため、バックアップおよびリストアソリューションがなければ、データを失うことになります。
前述のように、SaaS プロバイダは、ミスを修正することとソフトウェアの停止時間をなくすことに重点を置いています。顧客側でのミスやビジネスを停止させる悪質な攻撃に対する責任は負いません。企業がクラウドデータを失う可能性がある状況を以下に示します。
人的ミス。これはデータ損失の約 50% を占めています。従業員が連絡先、メール、または重要な設定を誤って削除することは避けられません。
不正な削除要求。SaaS プロバイダは、その削除要求が悪質または性急なものであるかどうかを知る手段がないため、それを疑うことなく実行します。予期しない結果になっても最終的な責任を負いません。
実際的なエラーまたは同期エラー。これは、ビジネスプロセスを合理化するための効果的なツールが重要なデータを一瞬にして破壊してしまい、元に戻すオプションがない状況を指します。
ハッカーによる悪用。ソーシャルエンジニアリングなどの技術的な手段を使用して、データにアクセスして盗むための新たな手口が考案されることがあります。
悪質な内部者。従業員が何らかの理由で企業データの破壊、アクセス、窃盗、または意図的な削除を行います。
ランサムウェア。恐喝を目的とした職場規模の攻撃形式です。
マルウェアとウイルス。これは、アクティブなハッカー攻撃を行うことすらなく、プログラムによって効率よくシステム全体を混乱させる偽ソフトウェアです。このソフトウェアの多くは、休止後にシステム内の既存のコードから起動するため、防御が困難です。
クラウドでデータを管理して保護するための準備を十分に整えるには、以下のベストプラクティスを理解し、従う必要があります。
SaaS サービスプロバイダが保護する対象を理解し、データを確実に保護するためのソリューションを導入します。
クラウドプロバイダは、常にプロバイダ側でのエラーやミスからデータを保護します。高い冗長性レベルと優れたバックアップシステムを使用して、顧客を停電、ソフトウェアおよびハードウェア障害、または自然災害から保護しています。このため、プロバイダ側でデータを失うことはほとんどありません。
ただし、顧客の側となると話は別です。悪質および偶発的なデータ損失が発生しやすくなります。このため、データ保護およびバックアップシステムが導入されていないと、完全なデータ損失の危険性があり、それに伴う問題が発生しやすくなります。
SaaS バックアッププロバイダを選ぶ際は、入念に下調べします。選択肢となるプロバイダが、顧客が必要とするものを実行していて、サービス提供にコミットしていることを確認します。クラウドベンダーとは信頼に基づき、透明性のある関係を築く必要があります。可能であれば、チェックリストを用意してクラウド間のバックアッププロバイダの評価に使用します。
SaaS データ損失の大半は人的ミスによるものです。これらをトレーニング、明確に文書化されたプロセス、定期的なチェックを使用して最小限に抑えるための対策を講じるとよいでしょう。
ただし、トレーニング、知識移転、および全般的な準備は事故を防ぐものではないため、適切なバックアップソリューションの導入の代替とすべきではありません。可能であれば、データを自己リストアでき、生産性を高め、IT リソースをより戦略的な取り組みへと向けることができるソリューションを選択します。
クラウドへの移行の主な利点は、これまでよりも便利にデータに 24 時間 365 日アクセスできることです。ただし、セキュリティリスクを最小限に抑えるには、さまざまなファイルへのアクセス権を持つユーザーを明確に定義して、適切なアクセスレベルを持つユーザーだけが表示と編集を行えるようにします。ほとんどの SaaS プラットフォームでは、都合に応じて役割と権限を割り当てて保護を強化することができます。
データバックアップには手動と自動の 2 つのオプションがあります。手動エクスポートは、時間がかかり、忘れやすいため、あまり効果的ではありません。一方、自動バックアップは、手動での介入なしで実行されるため、設定するだけで済みます。
リストアプロセスをテストすると、システムがデータ破損または損失からリカバリするのにどのぐらい時間がかかるかを評価し、適切な緊急事態計画を作成することができます。さらに、人的ミスの影響や事例をチームに周知できます。
慎重さを保つ習慣を確立できれば、データ損失の悪影響を最小限に抑え、事象の発生頻度を減らすことができるでしょう。ビジネスの継続性も向上します。
クラウドバックアップは従来の IT の範囲を超えています。SaaS バックアップソリューションを成功させるには、バックアップおよびリカバリタスクを実行するビジネスアプリケーション所有者を関与させて、バックアップ管理者のリソースと時間を節約する必要があります。これにより、プロセス全体の柔軟性と俊敏性も向上します。
IT とビジネスアプリケーション所有者の連携により、SaaS バックアップに対する最終責任者が決まります。
業種に適用されるコンプライアンス標準を把握し、従う必要があります。変化し続けるこれらの標準に従う責任があります。クラウドプロバイダへの移行によってその責任が委譲されることはありません。
したがって、SaaS バックアップソリューションを選択するときは、プロバイダのサービスが業種の要件を満たすことを確認します。データ管理に関する責任に対応するための適切な管理をデューデリジェンスの一部として導入します。
有効な SaaS バックアップソリューションを維持する企業には、データ保護以外にも多くの日常的な利点がもたらされます。その利点は次のとおりです。
コンプライアンス: データ損失からの事業継続は、最新のコンプライアンス標準の重要な柱です。
容易なオンボーディングとオフボーディング: 賢明な企業や組織であれば、SaaS バックアップおよびリストアを使用して、従業員による重要データの持ち込みや持ち出しを防止します。
データ品質チェック: 定期的なデータバックアップは、企業がデータの問題を特定し、修正するための機会を見つけるのに役立ちます。
SaaS ベンダーよりも迅速なデータリストア: ベンダーからデータリカバリの支援を受けている企業は、リカバリまでに場合によっては最大 90 日待つ必要があります。
個別リストア: 問題のあるデータのみを特定してリストアできるので、データセット全体を以前の状態にリストアするために中断や停止時間が必要になることはありません。
ごみ箱を調べるより効果的: 削除済みアイテムの選り分けは、ほとんどのベンダーは一定期間 (30 日など) が経過すると削除済みアイテムを完全に削除するため、面倒なだけであって、ほとんど意味のない作業です。
市場に出回っている SaaS バックアップオプションは多数あり、判断を難しくしています。以下は、特定のニーズに適した SaaS バックアップソリューションを選択するときに考慮する必要がある 6 つの重要なポイントです。
原則として、機能とオプションで現在使用されている、またはその保護対象となる SaaS プラットフォームやアプリと互換性がある SaaS バックアップソリューションを常に選択します。たとえば、メールシステムと統合する予定のバックアップソフトウェアには、メール向けのデータアーカイブ機能が含まれている必要があります。
重要なビジネスデータの保護のために SaaS バックアップソリューションの導入を検討している場合は、信頼性が高く包括的なバックアップソフトウェアに本質的に備わっている機能に常に注意を払います。これらの機能は次のとおりです。
保護対象となっているアプリとの円滑な統合
データのリストアおよびエクスポート機能
オンプレミスまたはクラウドにデータを保存するための各種オプション
データの暗号化メカニズム
バックアップスケジュールの調整
包括的なアクティビティ監視および追跡機能
保持設定
堅ろうかつ使いやすい管理と制御の方法
複数の SaaS ソフトウェアを使用する場合、選択するバックアップベンダーの機能はすべてのソリューションと互換性がある必要があります。Google Workspace、Dropbox、Salesforce も使用している場合は、Microsoft Office 365 専用の SaaS バックアップを提供するソリューションを使用しないようにします。
バックアップソリューションには、SLA (サービスレベル契約) に応じた合理的な RTO (リカバリ時間目標) と RPO (リカバリポイント目標) が設定されている必要があります。SaaS バックアッププロバイダは、常に RTO と RPO に関する実現内容に基づいて評価します。RPO の妥当性はポイントインタイムリカバリによるものであり、RTO の効率性は頻繁なバックアップの結果として生じます。そのプロバイダを使用した場合、バックアップからのリカバリが数クリックで可能かどうかを考えてみてください。
ベンダー間でのもう 1 つの注目すべきポイントです。バックアップの完了後、企業は通常、障害が発生する前の状態へのデータのリカバリを必要とします。その場合、形式、パターン、状況は同じである必要があります。適切な SaaS バックアップソリューションなら、これを実現できます。
どのベンダーを選ぶかを検討する際、SaaS バックアップサービスのセキュリティとコンプライアンスが不可欠になります。バックアップ前後のデータの保存場所も慎重に考える必要があります。さらに、バックアップソリューションは、世界中の関連するデータ中心の規制および標準に常に準拠する必要があります。HIPPA、PCI-DSS、ISO/IEC 27001、GDPR、CCPA、CPRA などの標準では、すべて長期データ保持、アクティビティのログ記録などの厳格な保護対策が求められます。
個別バックアップおよびリカバリ機能を決して無視できません。ハッカーや悪意のある従業員によって削除された、ごく一部のデータだけが必要な場合に、データ全体をリストアする必要があるでしょうか。従業員が必要なメールをうっかり削除してしまい、それを特定してリカバリするだけが問題になっている場合はどうでしょうか。このような場合、個別バックアップおよびリカバリが必要です。
SaaS のバックアップ計画または SaaS バックアップソフトウェア予測のコストを決して無視できません。ベンダーが提供するライセンスモデルを確認してください。柔軟で対応性の高いサブスクリプションベースのライセンスモデルが適切なオプションです。
クラウドは、セキュリティ、ユビキティ、フォールトトレランス、完全なバックアップを備えるものとして推進されています。これらは、企業や組織がデータをクラウドへ移行することを促す潜在的な要素であり、近年は、重要なアプリケーションをクラウドへ移行して SaaS (Software-as-a-Service) モデルを活用する企業が増えています。
ただし、自問すべき問題は、企業ソフトウェアの SaaS バージョンが安全かどうかです。安全であれば、アプリケーションのクラウドバージョンはオンプレミスバージョンよりも安全だと考えられますが、脆弱性がないわけではありません。SaaS アプリケーション内のデータは顧客のものであり、保護する責任は顧客にあります。また、常に保護のほうが修復よりも効果が高く、低コストです。
実際、このデータ中心の社会において、どの企業も組織もデータを失うことはできません。SaaS バックアップは、データを保護するための最適な方法です。クラウドの多くの利点をもたらし、安全なコピーを別の場所に保存します。