ページの本文へ

Hitachi
  • 2024.03.01
  • 2024.03.01
  • クラウドバックアップサービス AvePoint

責任共有モデルとは?対象のクラウドサービスや責任範囲・対策を紹介

クラウドバックアップサービス AvePoint

責任共有モデルは、クラウドサービスの利用が加速する現代において重要な概念です。

本記事では、責任共有モデルの概要やサービス分類による責任範囲の違い、クラウドサービス利用者側に必要となる対策などについて解説します。

※本記事に掲載している情報は2024年3月時点のものです

目次

  1. 責任共有モデルとは?
    1. 責任共有モデルは総務省で定められている重要項目
  2. サービス分類による責任範囲の違い
    1. IaaS(イアース)
    2. PaaS(パース)
    3. SaaS(サース)
  3. クラウドサービス利用者の責任範囲・対策
    1. クラウドサービスのOS・ネットワーク設定
    2. ソフトウェア・アプリケーション設定
    3. データ暗号化
    4. アクセス権限の設定
    5. 重要データのバックアップを取得
  4. 責任共有モデルの対策が必要なクラウドサービスの例
    1. Microsoft Azure
    2. AWS(Amazon EC2・Amazon RDS)
    3. GCP(Google Cloud Platform)
    4. Salesforce
    5. OCI(Oracle Cloud Infrastructure)
  5. まとめ

クラウドバックアップサービス AvePoint

「クラウドバックアップサービスAvePoint」導入でグループウェアの
情報セキュリティリスクを軽減。「グループウェア」のデータ保護を実現します。

責任共有モデルとは?

責任共有モデルとは、クラウドサービスにおける「サービス提供者」「利用者」の責任範囲を明確化し、セキュリティ上の責任を取り決める仕組みのことです。

クラウドサービスを安全に利用するために、次のような項目の責任範囲を取り決めます。

  • 保存データ
  • アプリケーション
  • ミドルウェア
  • OS
  • ハードウェア
  • ネットワーク

クラウドサービスを利用する企業・個人は、「利用者」に該当します。

「サービス提供者」が定めた責任共有モデルの取り決めに則り、自社で責任範囲の対策を実施しなければなりません。

また、クラウドサービスでセキュリティ上のトラブルが起きたとき、利用者側の責任範囲だった場合には、利用者が責任を負います。利用者側の対策不足でユーザーに被害が及ぶことを防ぎたい場合は、事前に責任共有モデルの責任範囲を把握し、対策することが重要です。

責任共有モデルは総務省で定められている重要項目

責任共有モデルは、総務省が定める重要なセキュリティ対策です。

総務省の「クラウドサービス提供における情報セキュリティ対策ガイドライン」※によると、責任共有モデルの必要性が高まっているのは、クラウドサービスのセキュリティ対策不足で多発する機密情報の漏えいが原因です。

クラウドサービスが登場して長い時間が経過しているにも関わらず、責任範囲があいまいであるため、総務省のサイバーセキュリティ統括官室が責任共有モデルの範囲を明確化し、ガイドラインを発表しました。

責任共有モデルに考慮せず対策を疎かにしていると、トラブル発生時には信頼の低下、賠償問題に発展する可能性もあります。安全にクラウドサービスを運用するためにも、セキュリティ対策を進めなければなりません。

※出典:「クラウドサービス提供における情報セキュリティ対策ガイドライン」(総務省) (https://www.soumu.go.jp/main_content/000771515.pdf

サービス分類による責任範囲の違い

責任共有モデルの取り決めが必要なクラウドサービスは、以下の3つに分類できます。

  • IaaS(イアース)
  • PaaS(パース)
  • SaaS(サース)

各サービスの概要や責任範囲・責任分界点の違いについて説明します。

IaaS(イアース)

IaaS(イアース)は、仮想化されたストレージ・CPU・メモリなどのITインフラを利用できるクラウドサービスです。正式名称を「Infrastructure as a Service」といい、ネットワーク上でサービス・システムの基盤を管理できます。

IaaSの責任分界点は次のとおりです。

  サービス提供者 利用者
責任分界点 ネットワーク
ハードウェア		 保存データ
アプリケーション
ミドルウェア
OS

主に、クラウドサービスが提供するインフラ部分はサービス提供者が、準備されたインフラ上の開発可能な要素は利用者が責任を負うイメージです。

後述するPaaS・SaaSと違い、責任範囲が広いため、運用時の負担も大きいと覚えておきましょう。

PaaS(パース)

PaaS(パース)は、仮想化されたアプリケーションサーバー・データベースといったアプリケーション実行に欠かせないプラットフォーム機能を利用できるクラウドサービスです。正式名称を「Platform as a Service」といい、ネットワーク上でアプリケーションの開発・実行・管理をまとめて実施できます。

PaaSの責任分界点は次のとおりです。

  サービス提供者 利用者
責任分界点 ネットワーク
ハードウェア
OS
ミドルウェア		 保存データ
アプリケーション

PaaSの場合、すでにOS・ミドルウェアが整備されているため、利用者の責任分界点は、保存データとアプリケーションのみとなります。

前述したIaaSより責任範囲が狭く負担を減らせますが、開発環境がすでに整備されている状態でアプリケーションを開発するので、開発の自由度が低いことに注意しなければなりません。

SaaS(サース)

SaaS(サース)は、仮想化されたアプリケーション・ソフトウェアを、インターネット上のサービスとして利用できるクラウドサービスです。正式名称を「Software as a Service」といい、SaaSに設定されている機能を使って手軽にサービスを開始できます。

SaaSの責任分界点は次のとおりです。

  サービス提供者 利用者
責任分界点 ネットワーク
ハードウェア
OS
ミドルウェア
アプリケーション		 保存データ

上の表からわかるように、利用者が責任を負担するのは保存データだけです。

サービス提供中の利用者管理のセキュリティ対策を進めるだけですので、IaaS・PaaSと比べて負担が少なく済みます。しかしながら仕様変更といった自由が利かず、カスタマイズ範囲に制限があることに注意しなければなりません。

クラウドサービス利用者の責任範囲・対策

クラウドサービス利用者の主な責任範囲と対策は次のとおりです。

  • クラウドサービスのOS・ネットワーク設定
  • ソフトウェア・アプリケーション設定
  • データ暗号化
  • アクセス権限の設定
  • 重要データのバックアップを取得

セキュリティ対策の内容を詳しく説明します。

クラウドサービスのOS・ネットワーク設定

IaaSのようなITインフラを構築できるホスティングサービスの場合、利用者がOSやネットワークの管理・運用の責任を負います。

OSを管理する際には、セキュリティパッチの適用や、ファイアウォールの構築を実施しましょう。またネットワーク管理では、ネットワーク送信元・送信先の許可について確認することが重要です。

ソフトウェア・アプリケーション設定

IaaS・PaaSでは、提供するソフトウェアやアプリケーションの責任が伴います。ウイルスや第三者の介入を防ぐためにも、構築時にはウイルスソフトやセキュリティプログラムで脆弱性を回避することが重要です。

データ暗号化

IaaS・PaaS・SaaSすべてにおいて、安全なデータ管理が求められます。第三者にデータ送受信を閲覧されない対策として、データ暗号化といった処理を実行してください。

アクセス権限の設定

IaaS・PaaS・SaaSすべてにおいて、アクセス権限を設定する責任があります。サービス登録者のログインIDやパスワードを設定することはもちろん、管理者としてアカウントのアクセス権を設定することが重要です。また、常にセキュリティのバージョンアップを繰り返すことで、安全なネットワーク環境を維持できます。

重要データのバックアップを取得

IaaS・PaaS・SaaSすべてにおいて、データ管理の責任を負います。重要データを管理する際には、必ずバックアップを取得し、トラブル時にすぐ復旧できる環境を整備しましょう。

責任共有モデルの対策が必要なクラウドサービスの例

最後に責任共有モデルの対策が必要となる、主要なクラウドサービスについて紹介します。

  • Microsoft Azure
  • Amazon EC2・Amazon RDS
  • GCP(Google Cloud Platform)
  • Selesforce
  • OCI(Oracle Cloud Infrastructure)

※掲載しているクラウドサービスの情報は2024年3月時点のものです。

Microsoft Azure

Microsoft Azureは、Microsoft社が提供するクラウドサービスです。IaaS・PaaS・SaaSそれぞれのサービス分類を持ち合わせています。

Microsoft Azureの場合、利用者は常に「データ」「エンドポイント」「アカウント」「アクセス管理」の責任を負うのが特徴です。Microsoft社・利用者の共有項目も一部ありますので、利用時には公式サイトで最新情報を確認しておくことが重要です。

AWS(Amazon EC2・Amazon RDS)

AWSは、大手ECサイトのAmazonが提供するクラウドサービスです。IaaS・PaaS・SaaSそれぞれのサービス分類を持ち合わせています。

仮想サーバーを作成できるAmazon EC2はIaaS、データベース構築に利用できるAmazon RDSはPaaSに分類されるのが特徴です。

導入の際は、サービスごとに責任分界点も確認しておきましょう。

GCP(Google Cloud Platform)

GCPは、インターネット広告サービスで有名なGoogleが提供するクラウドサービスです。IaaS・PaaS・SaaSそれぞれのサービス分類を持ち合わせています。

公式サイトには提供サービスごとの分類分けがまとめられていますので、利用するGCPサービスに合わせて、責任共有モデルにおける利用者の責任範囲を確認してみてください。

Salesforce

Salesforceは、SFA・CRM・MAといったクラウドサービスを提供するサービスです。PaaS・SaaSのサービス分類を持ち合わせています。

利用者責任の中でも重要なのが「説明責任」で、Salesforceの使用を決断したことや機能活用について利用者自らが責任を持ち、第三者に説明しなければなりません。

OCI(Oracle Cloud Infrastructure)

OCIは、データベース管理システムを中心としてソフトウェアの開発を実施するOracleのクラウドサービスです。IaaS・PaaS・SaaSのサービス分類を持ち合わせています。

OCIにおいても、IaaS・PaaS・SaaSによって責任分界点の範囲が異なります。クラウドサービスを利用する際には、必ず対応サービスの責任範囲を確認しましょう。

まとめ

クラウドサービスを利用する予定があるなら、事前に責任共有モデルの利用者責任の範囲を把握して、責任内でのデータ紛失に備えることが大切です。しかし、膨大なクラウドサービスのデータを自社で管理できないとお悩みの方もいるでしょう。

バックアップデータ管理にお悩みなら、バックアップサービスの導入をおすすめします。

データ管理やバックアップの取得は、IaaS・PaaS・SaaSを問わず重要な準備です。またマルウェア対策にも有効ですので、安全なサービス利用・運営のために、業務に活用していただけると幸いです。

※本記事における価格情報記載はすべて税抜表記です。
※Microsoft、Windows、Windows 10およびMicrosoftのロゴは、米国およびその他の国におけるMicrosoft Corporationの登録商標または商標です。
※その他、記載されている会社名、製品名は、各社の登録商標または商標です。
※ZENMU Virtual Desktopは、株式会社ZenmuTechの製品です。
※株式会社日立システムズエンジニアリングサービスは、ZENMU Virtual Desktopの正規販売代理店です。

クラウドバックアップサービス AvePoint

「クラウドバックアップサービスAvePoint」導入でグループウェアの
情報セキュリティリスクを軽減。「グループウェア」のデータ保護を実現します。

関連コラム