責任共有モデルは、利用企業が把握することが大前提だ。事業者側が責任範囲を明確にして明文化していても、利用企業が把握していなければセキュリティ事故につながる可能性がある。この場合、契約上は利用企業の責任が問われるため、きちんとチェックする必要があると佐々木主査は話す。
万が一セキュリティ事故が起きたときに備えて、対応を利用企業と事業者の間で相互認識しておく必要がある。その際にどちらが責任を取るか明確にするためにも、責任分界点の把握が重要となる。
クラウドサービスの提供形態が複雑化している場合もある。「Amazon Web Services」や「Microsoft Azure」のようなPaaS・IaaSの上に独自のSaaSを構築したり、API連携などで複数のサービスを合わせて1つのクラウドサービスとして提供したりする事例だ。
複数の事業者が関わっている場合、基本的には利用企業と直接契約する事業者との間で責任範囲を明確化することが重要になる。
佐々木主査は「使うサービスの背後にどんなクラウドサービスが関わっているかを気にすると良い。例えばIaaSの基盤が海外にあり、そこにデータが蓄積されていることを把握せず利用するのはリスクが高い」とアドバイスする。障害が起きたときの原因把握や対応スピードにも差が出る。
総務省はクラウドサービスを提供する事業者に対して、利用企業がサービスの利用環境やリスクなどを判断できる情報を提供するよう求めている。クラウドの設定内容を確認するツールや理解促進に役立つ資料を提供している事業者もあるといい、利用企業にはこうした情報の積極的な活用を推奨している。
「一概に利用企業側の問題だけでセキュリティ事故が起きるわけではなく、事業者側にもできることはある」(佐々木主査)として、同省は利用企業と事業者それぞれ意見を聞きながら「どちらが悪い」ではなくお互いに安心安全なクラウドサービスを目指し、22年3月までに新たな施策を行う予定だ。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR