セキュリティ対策を考える上では、サービス特有の事情も重要だが全体としてのセキュリティを考慮する必要がある

よく見たら北岡先生だ！！！

ASP・SaaS サービス事業者が自社のセキュリティ対策を検討する際には，このようなASP・SaaS サービス特有の事情を意識することが重要だと思われます。特に最近では複数の事業者が連携する場合が多いので，その点を意識することが重要でしょう。また，研究会報告書では，ASP・SaaSサービスのタイプ別に，CIA（Confidentiality：機密性，Integrity：完全性， Availability：可用性）要求レベル判定結果も掲載されています（研究会報告書41頁以下）。自社が利用するASP・SaaSサービスの特性を検討する上で，参考になると思われます。
なお，研究会報告書は，データに対する完全性（Integrity）の要求が常に高いとしています。しかし，研究会報告書が対象とするASP・SaaSサービスには，電話会議，Web会議なども含まれていますから，この点については若干の疑問があります（注4）。研究会報告書を基に策定されている情報セキュリティ対策ガイドラインを参考にする際には，この点に注意が必要ではないかと考えます。
情報セキュリティ対策ガイドラインは，「組織・運用編」と「物理的・技術的対策編」に分かれています。「組織・運用編」については，「連携 ASP・SaaS事業者から組みこむASP・SaaSサービスの管理」が取り上げられています。ただし，一般的なセキュリティ対策とそれほど異なるものが取り上げられているわけではありません。一方，「物理的・技術的対策編」では，ASP・SaaS事業者が提供するサービスのタイプ別に即して分類したパターン1〜6ごとに対策参照値が設定してあり，こちらは参考になるのではないでしょうか。