クラウドセキュリティの「責任共有モデル」とは

日本でも、クラウドコンピューティングの利用が進んできました。特にSaaSと呼ばれる分野では、それと気づかずにクラウドを使っているということもよくあります。コロナ禍で利用が進んだZoomなどのビデオ会議システムなどもクラウドサービスですし、ファイル共有にDropboxやboxを使っている会社も増えています。

クラウドの利用が増えるに従い、クラウドに関連したセキュリティ侵害も増えてきました。その中に、「クラウドの使い方をよく理解していない」ための事件も含まれています。
2020年9月4日のコラムでも「クラウドが危険というのは間違っている」ということを書きました。クラウドはセキュリティの専門家によって運営・監視されているため、一般企業が管理するサーバーよりも確実に安全です。

しかし、だからといって「クラウドならベンダーがすべて面倒見てくれるから大丈夫」というのも、正しくありません。クラウドサービスの利用が広がるにつれ、ベンダーと利用企業の間でこういった認識のずれが目立つようになってきました。
結論から言うと、クラウドサービスを利用する際には、そのセキュリティについて、ベンダーと利用企業の双方で責任を分担することになるのです。これを「責任共有モデル」と言います。

ひとつ例を挙げましょう。

ファイル共有サービスは、社員間で情報を共有したり、外部との間で大きなファイルをやりとりしたりする際に非常に便利です。ファイル共有サービスが侵害されて、データが流出したり、システムがダウンしてサービスを利用できずに損害が発生した場合、それはサービスを提供しているベンダーの責任となります。（どこまで責任をとるのかはSLAに書かれています）
一方で、ユーザーIDやパスワードを管理するのは利用企業（ユーザー）側の責任です。これらが漏れた結果データが侵害された場合、サービス提供ベンダーは責任をとりません。（というか、とれません）

ニュースなどで「クラウドサービスから情報が流出」などと出た場合、ほとんどのケースがベンダーではなく利用企業のID/パスワード管理が原因なのです。

SaaS/PaaS/IaaSなどの違いで、どこまでが誰の責任になるのかの線引きが違いますので、わかりにくいことは確かです。最近ではこの手のトラブルが多くなってきたようで、クラウドベンダーが責任共有について啓蒙することが多くなってきました。過度に身構える必要はありません。これまで自社で行っていたセキュリティをそのまま続ければ良いのです。その一部を、ベンダーが肩代わりしてくれると考えれば、それはメリットと考えることができます。