top of page

サードパーティ連携・契約管理
技術的側面

以下では、サードパーティ連携・契約管理のうち、**技術的側面(パラメーター粒度・実装手順レベル)**を中心に概要を記述します。特に Azure 上で外部 SaaS や PaaS と API 連携を行う場合に必要な設計・実装ステップや、Azure Marketplace から導入するアプリのセキュリティ検証方法を整理し、どのように個人情報の流出リスクを最小化するかを解説します。なお、実際の運用では、法務部門による契約管理(DPA/再委託契約レビュー)と連携して進めることを前提としています。

Software as a Service SaaS. Software concept. Business, modern technology, internet and ne

1. SaaS, PaaS 連携・API 管理

1-1. 外部 SaaS との API 連携

1-1-1. データフロー可視化と設計

  1. 要件定義

    • どのような個人情報(PII)が外部 SaaS に渡るかを明確化:名前、メールアドレス、住所など

    • データの取り扱い範囲:読み書きの方向(例:Azure → SaaS に送信、SaaS → Azure へレスポンス など)

    • 最小権限の原則:API による取得・送信データを最小限に絞る

  2. データフロー図の作成

    • Azure AAD(認証基盤)→API Gateway(もしくは Azure APIM)→SaaS エンドポイント

    • 必要に応じて Azure Functions や Logic Apps を間に挟んでワークフローを制御

  3. 個人情報のマスキング/トークナイゼーション

    • Azure Data Factory や Databricks で事前にマスク処理したデータのみ送信する

    • 敏感情報を直接外部SaaS に送らない設計を検討

1-1-2. API セキュリティと認証

  1. Azure API Management (APIM) の導入

    • Front-end として APIM を配置し、すべての外部 API コールを集約

    • Policies により、認証・レート制限・IP フィルタリングを実施

    • バックエンド(外部 SaaS)への接続設定を行い、必要な HTTPS/TLS 設定を強制

  2. OAuth 2.0 / OpenID Connect

    • クライアントアプリとの間でトークンベース認証を採用し、機密クライアントID/秘密 を安全に管理(Key Vault 推奨)

    • 外部 SaaS が OAuth 2.0 に対応している場合、Azure AD による Enterprise Application 登録 で SSO 化

  3. 通信暗号化 (TLS 1.2/1.3)

    • APIM と外部 SaaS 間は必ず HTTPS を利用

    • API Management で TLS version policy を “>=1.2” に設定

    • 証明書 を Key Vault で管理し、定期更新を自動化(Azure Key Vault + App Service Certificates 等)

1-1-3. パラメーター設定例(APIM / OAuth)

  • APIM インスタンス名: apim-myproject-prod

  • SKU: Premium (外部 VNet 接続が必要な場合) または Standard

  • Custom domain: api.mycompany.com (TLS 証明書を Key Vault に保管)

  • Policies:

    • Rate-limit: 100 requests/分, burst 20

    • IP restriction: SaaS 側の固定 IP からのみ受け付け

  • OAuth サーバー: https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/token

  • OAuth Client ID/Secret: Key Vault に保存 (kv-myproject)、APIM から Managed Identity で参照

1-2. Azure Marketplace アプリのセキュリティ検証

1-2-1. アプリ選定とレビュー

  1. Azure Marketplace で公開されている SaaS / PaaS アプリを導入検討

    • Publisher’s Security Documentation を確認し、ISO 27001 や SOC 2 などのセキュリティ認証取得状況をレビュー

  2. アクセス権限(Permissions)

    • どの Azure リソースへの読み書き権限を要求するか

    • 個人情報を扱うストレージや DB に対する権限は最小化する

1-2-2. デプロイ前の検証ステップ

  1. 検証環境 (Dev/Test) でのテスト

    • Azure Dev/Test Subscription を利用し、本番データでなくテスト用ダミーデータを用いる

  2. Security Baseline チェック

    • Azure Security Center(Defender for Cloud)でアプリがデプロイする VM やコンテナの脆弱性を検知

  3. Network Configuration

    • VNet integration の有無を確認し、必要に応じて Private Link を利用するなどパブリックエンドポイント露出を制限

2. 実装・手順書(概要)

以下は、実際に「レポート生成 SaaS」に顧客データを送るケースを想定した手順例です。

手順 A: データの連携フロー設計

  1. 要件整理

    • 送信データ:顧客 ID、利用状況レポート(個人情報レベル:メール程度)

    • レポート生成 SaaS API 仕様:POST /generateReport に JSON 形式で送信

  2. Azure Functions or Logic Apps を使用して、定期的に送信(例: 毎朝 8時にバッチ実行)

  3. 暗号化:Outbound 通信は TLS 1.2 以上。リクエストヘッダーで OAuth 2.0 Bearer トークンを付与

手順 B: API Management で中継(推奨構成)

  1. APIM インスタンス作成

    • 名称: apim-customerreport-prod

    • SKU: Standard(リクエスト規模に応じて選択)

  2. バックエンドの登録

  3. Policiy の適用

    • Rate-Limit を 50 requests/min などに設定

    • Rewrite-URL などで送信パスを /generateReport に固定

  4. Azure Functions → APIM → SaaS のデータフローを確認し、APIM でログを取得

手順 C: OAuth 認証設定

  1. Azure Active Directory で App Registration

    • アプリ名: thirdparty-saas-auth

    • 返信URL/リダイレクトURI: APIM を経由する場合に合わせて設定

  2. SaaS 側 で OAuth Client ID/Secret を発行してもらい、Azure Key Vault に格納

  3. APIM ポリシー で OAuth トークン取得フローを実装する(Client Credentials Grant)

手順 D: Azure Marketplace アプリ導入時の手順(例)

  1. Marketplace での検索

    • “XYZ Reporting Tool” を検索、Publisher 情報とセキュリティ認証状況を確認

  2. 検証サブスクリプション にて “Create”

    • デプロイウィザードの “Permissions” 画面で、必要以上のリソースアクセス要求がないかチェック

  3. セキュリティテスト

    • Defender for Cloud で “High” の警告がないか確認

    • ネットワーク接続が “Public endpoint” のみの場合、Private Link or Service Endpoint で制限できるか検討

  4. 本番環境への昇格

    • Dev でテスト完了後、Azure DevOps リリースパイプライン などを使い、Infrastructure as Code (ARM/Bicep/Terraform) で本番デプロイ

    • 法務部が契約 (DPA, SLA) を締結済みであることを確認してゴーライブ

手順 E: ログ管理・監査設定

  1. Azure Monitor / Sentinel

    • “APIM to SaaS” 通信ログを収集(Diagnostic Settings)

    • Sentinel で “大量リクエスト” や “不審IP からのアクセス” をアラート化

  2. Key Vault Audit Logs

    • 誰がいつ Client Secret を参照したか監査

  3. Data Factory / Logic Apps ログ

    • 実行履歴で送信件数や失敗数をモニタリング

3. 個人情報保護のための実装ポイント

  1. データ最小化:

    • 個人情報の項目をなるべく含めない形で SaaS に送信(Pseudonym ID など)

  2. 暗号化・キー管理:

    • Azure Key Vault Premium (HSM) による BYOK 運用

    • Storage/DB は TDE (Transparent Data Encryption)

  3. アクセス制御 (RBAC / Condition Access):

    • Azure RBAC で API 関連リソースに最小権限のみ付与

    • 条件付きアクセスで社内ネットワークからの管理操作のみ許可

4. まとめ

  • SaaS/PaaS API 連携:

    1. APIM + OAuth で安全にデータを送受信

    2. Azure Functions / Logic Apps で定期処理フローを自動化

    3. データ流量モニタリング や IP 制限 による漏洩リスク対策

  • Azure Marketplace アプリ検証:

    1. Dev/Test 環境でのセキュリティテスト

    2. Permissions 要求の最小化とネットワーク制限

    3. 監査ログ(Defender for Cloud)で脆弱性を継続監視

  • 個人情報保護対応:

    1. データ最小化と疑似匿名化

    2. Key Vault で秘密情報を安全に管理

    3. ログ収集・分析基盤(Azure Monitor / Sentinel)でインシデントを早期発見

これら技術的対策とあわせ、法務部門がサードパーティとの DPA(データ処理契約)や再委託条項を精査し、GDPR や国内個人情報保護法の要件を満たすことで、安全かつコンプライアンスを確保したサードパーティ連携を実現できます。

bottom of page