クラウドセキュリティの責任は誰が負う？ 「統一見解が見当たらず」と米CA

CA Technologiesがクラウドセキュリティに関する調査結果を発表した。クラウドのセキュリティに対する信頼性が向上している一方で、責任の所在については認識のズレがあることも明らかになった。

[ITmedia]

　米CA Technologiesと独立系調査会社のPonemon Instituteが、「Security of Cloud Computing Users 2013（クラウドコンピューティングユーザーのセキュリティ 2013）」を発表した。

　調査によると、クラウドセキュリティのベストプラクティスに関するポジティブな回答は、2010年の調査から5％上昇したものの50％程度となり、組織で利用しているクラウドサービスを全て把握していると回答したのは、わずか50％にとどまった。

　「クラウドにおけるセキュリティの責任を誰が負うか」という問いに対しては統一の認識がないことも浮き彫りになった。

　SaaSアプリケーションやIaaSアプリケーションのセキュリティは、「クラウドサービスのプロバイダが保証すべきと」答えた組織がSaaSで36％、IaaSで22％に上る一方、「アプリケーションのエンドユーザーがセキュリティの責任を負うべき」だと回答した組織もSaaSで31％、IaaSで21％あった。「IT部門が責任を持つべき」と考えた組織もSaaSで8％、IaaSで10％と少数ながら存在する。クラウドセキュリティに対する責任が、エンドユーザーやIT部門に転嫁されている傾向があることも明らかになっている。

　また調査回答者の64％は、オンプレミスおよびクラウドベースの両方のアプリケーションをサポートするハイブリッド型IAM（ID・アクセス管理）の導入を望んでいることも分かった。

　調査結果を受け、Ponemon Instituteの会長兼創設者、ラリー・ポネモン氏は「企業や組織がクラウドサービスへの取り組みを見直し、その結果、クラウドサービスやアプリケーションの導入プロセスやセキュリティが改善されることを期待したい」とのコメントを寄せている。