一方の「クラウドサービスの責任共有モデル」は、CSPと利用企業がそれぞれ責任を負うという考え方を指します。クラウドの利用者・提供者は、この責任共有モデルに基づいて責任分界点を明示し、それぞれに必要な対応を取る必要があります。
責任共有モデルでは、サービスの提供形態によって責任分界点が異なります。例えばSaaSの場合は アプリケーションに異常が発生した際の責任は提供事業者側にありますが、インフラを提供するIaaSの場合は利用者側の責任となります。
ただし、中にはなかなかこの考え方を理解できないクラウドサービス利用者も見られます。例えば、本来は利用者側が責任を持つべきアカウントの設定について、その妥当性の確認はCSPが担保すべきと利用者が思い込んでいることもあります。
ISMAPに登録されていることで、逆に「このクラウドサービスは信頼できるから、全部お任せでよい」と誤った認識を持たれる可能性もあります。同様の誤解から責任の所在があやふやになり、あらぬビジネスリスクが生じることもあるかもしれません。その可能性を排除するためにも、責任共有モデルについての情報開示は重要です。
先述の通り、ISMAPは一度登録すれば終わりではなく、リスト入りを維持する場合は更新が求められます。更新する場合は、初回登録後も監査機関による毎年の継続的な評価および審査が必要です。
ISMAPクラウドサービスリストには、クラウドサービス利用者がセキュリティリスクを評価するのに有用な情報が記載されています。ただ、必要な情報が網羅されているわけではありません。
CSPにとっては、ISMAPクラウドサービスリストへの登録がゴールではなく、あくまで政府機関が求める最低要件を満たしたに過ぎないという認識が必要になります。情報開示についても同様です。クラウドが社会の重要なインフラとして機能していくからこそ、CSPにはサービスの利用者目線に立ち、クラウドの信頼を高めるための取り組みが求められます。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR