セキュリティチェックシート：SaaS（B2B）向け“最小で通す”ログ回答セット

### このページの目的 リソースの少ないB2B SaaS企業が、エンタープライズ顧客の無茶な要求を「最小コスト」でかわすための詰め合わせです。 ### 得られるもの - 「最低限これだけやっていれば契約できる」ライン - コスパ重視のツール選定 - 「これからやります」の言い換え --- ### 最低限クリアすべき3点セット #### 1. 監査ログ（必須） ```text 管理者およびユーザーの重要操作（ログイン、データ変更）は全てログとして記録し、1年間保持しています。 ``` ※これがNoだと契約できません。テキストファイルでもいいので残しましょう。 #### 2. バックアップ（必須） ```text 日次で取得し、過去7世代分を保持しています。物理的に離れたリージョンへ転送しています。 ``` ※AWS RDS標準機能そのままでOKです。 #### 3. 委託先管理（必須） ```text AWS/GCP等の国際基準（ISO27001/SOC2）を満たすベンダーのみを利用しています。 ``` ※「自社でデータセンターを持っています」と言うより安全です。 --- ### よくある追加質問への「逃げ」回答 - **Q. WAFを入れていますか？** - A. 「AWS Shield Standard（DDoS対策）が標準適用されています。アプリ層WAFについてはリスク評価に基づき将来的な導入を検討中です。」 - **Q. 侵入テストをしていますか？** - A. 「年1回の脆弱性診断（自動スキャン）を実施し、Criticalな脆弱性は即時修正しています。」（手動ペネトレーションテストまでは約束しない）