クラウドからの情報漏えい、責任は誰に? SaaSやPaaSの大前提「責任共有モデル」とは 総務省が解説(2/2 ページ)
クラウドの管理ミスで情報漏えいした――こんなセキュリティ事故の責任は誰にあるのか。クラウドサービスの利用企業が把握すべき大前提「責任共有モデル」を総務省の担当者に聞いた。
責任分界点の把握は、セキュリティ事故への備え
責任共有モデルは、利用企業が把握することが大前提だ。事業者側が責任範囲を明確にして明文化していても、利用企業が把握していなければセキュリティ事故につながる可能性がある。この場合、契約上は利用企業の責任が問われるため、きちんとチェックする必要があると佐々木主査は話す。
万が一セキュリティ事故が起きたときに備えて、対応を利用企業と事業者の間で相互認識しておく必要がある。その際にどちらが責任を取るか明確にするためにも、責任分界点の把握が重要となる。
クラウドサービスの提供形態が複雑化 「関係するサービスを気にすると良い」
クラウドサービスの提供形態が複雑化している場合もある。「Amazon Web Services」や「Microsoft Azure」のようなPaaS・IaaSの上に独自のSaaSを構築したり、API連携などで複数のサービスを合わせて1つのクラウドサービスとして提供したりする事例だ。
複数の事業者が関わっている場合、基本的には利用企業と直接契約する事業者との間で責任範囲を明確化することが重要になる。
佐々木主査は「使うサービスの背後にどんなクラウドサービスが関わっているかを気にすると良い。例えばIaaSの基盤が海外にあり、そこにデータが蓄積されていることを把握せず利用するのはリスクが高い」とアドバイスする。障害が起きたときの原因把握や対応スピードにも差が出る。
事業者が提供する設定確認ツールの活用を推奨
総務省はクラウドサービスを提供する事業者に対して、利用企業がサービスの利用環境やリスクなどを判断できる情報を提供するよう求めている。クラウドの設定内容を確認するツールや理解促進に役立つ資料を提供している事業者もあるといい、利用企業にはこうした情報の積極的な活用を推奨している。
「一概に利用企業側の問題だけでセキュリティ事故が起きるわけではなく、事業者側にもできることはある」(佐々木主査)として、同省は利用企業と事業者それぞれ意見を聞きながら「どちらが悪い」ではなくお互いに安心安全なクラウドサービスを目指し、22年3月までに新たな施策を行う予定だ。
関連記事
- クラウド利用で高まる情報セキュリティリスク、その原因は? IT担当者が身に付けるべき運用の心構え
クラウドサービスの業務利用が当たり前になった今、情報セキュリティに関するネガティブなニュースが目に付くことも非常に増えた。自身が被害者にならないために、そして二次的な被害の加害者にならないために何ができるのか。 - 設定ミス→漏えいの影に潜む“クラウドへの誤解” いま理解したい「責任共有モデル」
クラウドサービスの活用が広がるのに比例して発生する、設定ミスに起因するセキュリティ事故。数々のインシデントが報じられる中、なぜこういった事故はなくならないのか。ガートナー ジャパンの亦賀忠明さんによれば、背景には日本企業特有の「クラウドへの理解不足」があるという。 - クラウドの設定ミス、気を付けても見落としがちな“あるポイント” セキュリティ診断会社に聞く
クラウドサービス、特にSaaSの設定ミスによって相次ぐ情報流出。こういった動向を受け、外部の診断サービスなどを使い、自社が利用しているクラウドサービスの設定を見直す企業が出ているかもしれない。そこで、実際に診断サービスを提供するラックに、企業の動向や見落としがちな設定を聞いた。 - 相次ぐ漏えい事件、本格的に狙われ出したSaaSベンダー 見過ごされてきた“死角”への対策は
クラウド化の波やコロナ禍の影響により、Webベースの業務アプリケーションが普及したため、悪意を持った第三者にとっては攻撃しやすい状況にある。今回は、最近漏えい事件が相次いでいる「業務アプリ」に焦点を当て、Webセキュリティを解説する。 - Salesforce、Trello……“設定ミス”で情報漏えい、どう防ぐ? 注意点を専門家に聞く
「Salesforce」や「Trello」といったSaaSの設定ミスに起因する情報漏えいが相次いでいる。しかしDXの推進が叫ばれる今、SaaSの利用を取りやめる判断は現実的ではない。企業はどうすれば情報漏えいを防ぎつつ、SaaSを使い続けられるのか、注意点を専門家に聞いた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.