昨今、クラウドサービスの普及に伴い、多くの企業がクラウドサービスへの移行を検討していると思われます。しかし、クラウドサービスの利用時に注意したいのが、事故が起きた際に誰が責任をとればよいのか、ということです。現在のクラウドサービスの多くは「責任共有モデル」というセキュリティモデルを採用しています。しかし昨今、とりあえずクラウドを使ってみよう、という考え方が広がり、こうした「責任共有モデル」をはじめとするセキュリティについて把握しきれていない利用企業も多数あると言われています。総務省は、クラウドサービス事業者向けの「情報セキュリティ対策ガイドライン」を2021年9月に改定し、この責任共有モデルについて内容を拡充しました。 こうした事情に鑑みて、ここでは、クラウド時代の新しいセキュリティである「責任共有モデル」と弊社が提案する「データ主導権モデル」について解説していきます。また、セキュリティ対策として具体的にどのような対策があるのか、最後に紹介します。 責任共有モデルとは そもそも、責任共有モデルとはどのようなモデルなのでしょうか。簡単に言ってしまえば、サービスにおける責任をクラウド事業者と利用者との間で共有するという考え方です。クラウドの登場によって、セキュリティのあり様は大きく変わったと言われています。完全に自社内だけで、インフラからアプリケーション構築、データ管理を行っている場合は、データの機密性の保持を第一に考え、外部との通信に気を遣えば、大きな問題はないと思われるでしょう。しかし、クラウドの登場により自社の「外部」にデータやアプリケーションを保持する、という運用体制が出来上がります。そのため、データやシステムに問題が起きた時にどこが責任をとるのか、どのようなセキュリティ対策を施すべきなのか、ということを考え直す必要がありました。そうして生まれたのが、「責任共有モデル」という考え方でした。 例えば、クラウド事業者がインフラ等に責任を、利用者がデータに責任を持つと仮定してみましょう。ハードウェアやネットワークについては事業者が管理し、障害等が起こった際には責任を負います。それに対して、実際にクラウド上に保存されているデータに関しては利用者が管理し、操作の誤り等による損失の際には責任を負います。このように、サービスの管理責任の範囲を明確化して共有する、という考え方が「責任共有モデル」です。 IaaS、PaaS、SaaSの「責任分界点」の違い […]