SaaSセキュリティ比較, まず結論
主要SaaS 5社を比較すると、1位はマネーフォワード 80点、最下位はSansan 55点でした。SaaS導入前に見るべき差は、HTTPSの有無よりも、DMARC・DKIM・CSPなどの運用系設定に出やすいです。
「freee・SmartHR・Sansanで安全なのはどこかをすぐ知りたい」「5社の比較表だけ先に見たい」「稟議前に最低限のセキュリティチェック項目だけ押さえたい」という方向けに、公開ヘッダーとDNS情報をもとに要点をまとめます。
先に結論だけ見るなら、下の比較表で1位から5位まで30秒で把握できます。 そのあとに、なぜ点差がついたのかをDMARC・DKIM・CSP・Referrer-Policyの順で読むと判断しやすいです。
特にSaaS選定前のセキュリティチェックとして、メール認証とブラウザ防御の差がどこに出るかを先に把握しておくと、比較表の読み取りがかなり楽になります。3分で見返せるよう、導入前5項目も先に整理しました。
| 企業 | ドメイン | スコア | ランク |
|---|---|---|---|
| マネーフォワード | moneyforward.com | 80点 | A |
| サイボウズ | cybozu.co.jp | 70点 | B |
| freee | freee.co.jp | 65点 | C |
| SmartHR | smarthr.jp | 65点 | C |
| Sansan | sansan.com | 55点 | D |
比較表だけ先に見たい方向け
- 1位 マネーフォワード 80点
- 2位 サイボウズ 70点
- 3位 freee / SmartHR 65点
- 5位 Sansan 55点
差がついた主因は、DMARC・DKIM・Referrer-Policyの有無です。
SaaS導入前に確認したい3つのポイント
- メール認証が整っているか:DMARCやDKIMが弱いと、請求や通知メールのなりすまし対策に不安が残ります
- ブラウザ向け防御があるか:CSPやPermissions-Policyは、SaaSの信頼性を測るうえで見落としにくい差分です
- 基本ヘッダーが全社共通で揃っているか:HTTPS、HSTS、X-Frame-Optionsなどの初歩が揃っているかをまず見ます
つまり、SaaSのセキュリティ比較では「SSL対応済みか」だけでなく、メール認証とヘッダー運用の成熟度まで見ると差がわかりやすいです。
SaaS選定前のセキュリティチェックリスト5項目
- DMARCが設定されているか:通知メールや請求メールのなりすまし対策の基準になります
- DKIMが生きているか:送信ドメイン認証が弱いと、取引先への到達性や信頼性に影響します
- CSPやHSTSがあるか:ログイン前のコーポレートサイトでもブラウザ防御の成熟度が見えます
- Referrer-PolicyやPermissions-Policyが整っているか:不要な情報漏えいや権限利用を抑える姿勢を確認できます
- 公開情報で説明責任が果たされているか:セキュリティページ、認証取得、インシデント対応方針が探しやすいかも重要です
メール認証をまとめて確認したい場合は、メール認証チェックの記事も合わせて見ると、SaaS比較の観点を整理しやすくなります。
項目別の比較
| 項目 | マネフォ | サイボウズ | freee | SmartHR | Sansan |
|---|---|---|---|---|---|
| HTTPS | ✅ | ✅ | ✅ | ✅ | ✅ |
| HSTS | ✅ | ✅ | ✅ | ✅ | ✅ |
| CSP | ❌ | ❌ | ❌ | ❌ | ❌ |
| X-Content-Type-Options | ✅ | ✅ | ✅ | ✅ | ✅ |
| X-Frame-Options | ✅ | ✅ | ✅ | ✅ | ✅ |
| Referrer-Policy | ✅ | ✅ | ✅ | ❌ | ❌ |
| Permissions-Policy | ❌ | ❌ | ❌ | ❌ | ❌ |
| SPF | ✅ | ✅ | ✅ | ✅ | ✅ |
| DKIM | ✅ | ✅ | ✅ | ✅ | ❌ |
| DMARC | ✅ | ❌ | ❌ | ❌ | ❌ |
業界全体の傾向
SaaS企業5社の平均スコアは67点です。テック企業として基本対応は揃っている一方、CSP・Permissions-Policy・DMARCのような一段深い運用で差がついていました。
- マネーフォワードがトップ:金融データを扱う特性上、セキュリティ意識の高さが反映されています
- 基本項目は全社対応:HTTPS、HSTS、X-Content-Type-Options、X-Frame-Optionsは全社設定済みです
- CSPは全社未設定:SaaS製品はSPAが多く、インラインスクリプト依存がCSP導入を難しくしている可能性があります
- DMARCはマネーフォワードのみ:BtoBサービスでは取引先を装ったフィッシング対策の観点で差が出やすい領域です
- Sansanのスコアが低め:DKIM未設定かつDMARC未設定で、機密性の高い名刺データを扱う企業としてはメール認証強化の優先度が高いです
改善ポイント
- 全社共通:CSPの導入。SaaS製品のセキュリティ基準として、コーポレートサイト側でもXSS対策を明示できる状態が望まれます
- サイボウズ・freee・SmartHR・Sansan:DMARCの導入。BtoB企業間メールの信頼性を高めるうえで、なりすまし対策は必須です
- Sansan:DKIMの導入でメール認証の基盤整備が急務です
- SmartHR・Sansan:Referrer-Policyの設定で外部サイトへの情報漏洩リスクを抑えられます
- 全社共通:Permissions-Policyの導入で不要なブラウザ権限利用を絞れます
SaaS企業は顧客企業の機密データを預かる立場にあり、自社サイトのセキュリティ設定は信頼性の指標の一つです。SaaS比較の検討段階でも、価格や機能だけでなく、公開設定の整備度合いを一緒に見る価値があります。
関連記事
各社の詳細分析
- マネーフォワードのセキュリティ設定を詳しく見る
- サイボウズのセキュリティ設定を詳しく見る
- freeeのセキュリティ設定を詳しく見る
- SmartHRのセキュリティ設定を詳しく見る
- Sansanのセキュリティ設定を詳しく見る
他の業界のセキュリティ比較
免責事項:本記事は、HTTPレスポンスヘッダーおよびDNS情報の公開情報に基づく分析であり、実際のセキュリティ設定を保証するものではありません。スコアは独自の採点基準によるものです。情報は調査時点のものであり、最新の状況とは異なる場合があります。