SaaS企業5社のセキュリティスコア比較
企業の業務データや従業員情報を預かるSaaS企業5社のWebセキュリティ設定を比較しました。
| 企業 | ドメイン | スコア | ランク |
|---|---|---|---|
| マネーフォワード | moneyforward.com | 80点 | A |
| サイボウズ | cybozu.co.jp | 70点 | B |
| freee | freee.co.jp | 65点 | C |
| SmartHR | smarthr.jp | 65点 | C |
| Sansan | sansan.com | 55点 | D |
項目別の比較
| 項目 | マネフォ | サイボウズ | freee | SmartHR | Sansan |
|---|---|---|---|---|---|
| HTTPS | ✅ | ✅ | ✅ | ✅ | ✅ |
| HSTS | ✅ | ✅ | ✅ | ✅ | ✅ |
| CSP | ❌ | ❌ | ❌ | ❌ | ❌ |
| X-Content-Type-Options | ✅ | ✅ | ✅ | ✅ | ✅ |
| X-Frame-Options | ✅ | ✅ | ✅ | ✅ | ✅ |
| Referrer-Policy | ✅ | ✅ | ✅ | ❌ | ❌ |
| Permissions-Policy | ❌ | ❌ | ❌ | ❌ | ❌ |
| SPF | ✅ | ✅ | ✅ | ✅ | ✅ |
| DKIM | ✅ | ✅ | ✅ | ✅ | ❌ |
| DMARC | ✅ | ❌ | ❌ | ❌ | ❌ |
業界全体の傾向
SaaS企業5社の平均スコアは67点。テック企業としてはもう一段の強化が期待されます。
- マネーフォワードがトップ:金融データを扱う特性上、セキュリティ意識の高さが反映されています
- 基本項目は全社対応:HTTPS、HSTS、X-Content-Type-Options、X-Frame-Optionsは全社設定済み
- CSPは全社未設定:SaaS製品はSPA(シングルページアプリケーション)が多く、インラインスクリプトへの依存がCSP導入を難しくしている可能性
- DMARCはマネーフォワードのみ:BtoBサービスにおいて、取引先を装ったフィッシングメール対策は重要
- Sansanのスコアが低め:DKIM未設定かつDMARC未設定で、名刺データという機密情報を扱う企業としてはメール認証の強化が望まれます
改善ポイント
- 全社共通:CSPの導入。SaaS製品のセキュリティ基準として、コーポレートサイトでもCSPを設定することが信頼性向上につながる
- サイボウズ・freee・SmartHR・Sansan:DMARCの導入。BtoB企業間のメールは信頼性が重要で、なりすまし対策は必須
- Sansan:DKIMの導入でメール認証の基盤整備が急務
- SmartHR・Sansan:Referrer-Policyの設定で外部サイトへの情報漏洩を防止
- 全社共通:Permissions-Policyの導入
SaaS企業は顧客企業の機密データを預かる立場にあり、自社サイトのセキュリティ設定は信頼性の指標の一つです。セキュリティを売りにするSaaS企業こそ、まず自社サイトの設定を万全にすることが求められます。
各社の詳細分析
- マネーフォワードのセキュリティ設定を詳しく見る
- サイボウズのセキュリティ設定を詳しく見る
- freeeのセキュリティ設定を詳しく見る
- SmartHRのセキュリティ設定を詳しく見る
- Sansanのセキュリティ設定を詳しく見る
他の業界のセキュリティ比較
免責事項:本記事は、HTTPレスポンスヘッダーおよびDNS情報の公開情報に基づく分析であり、実際のセキュリティ設定を保証するものではありません。スコアは独自の採点基準によるものです。情報は調査時点のものであり、最新の状況とは異なる場合があります。