初期費用や運用費用が安い、システム構築を迅速に行える、利便性が高い、といった理由から多くの企業で導入の進むクラウドサービス。その安全な利用のために理解しておくべき事項の1つとして、「責任共有モデル」というものがあります。責任共有モデルとは簡単に言うと、クラウドサービスのセキュリティに関する責任を、サービスの利用者と提供者(クラウドサービスプロバイダー/CSP)とで共有し合うという考え方のことです。本記事では、責任共有モデルの概要について説明した上で、クラウドセキュリティにおいてなぜ責任共有モデルが重要になるのか、SaaSやPaaS、IaaSといったサービスタイプで責任範囲がどう異なるのか、といった点についてわかりやすく解説します。
責任共有モデルとは?
責任共有モデルとは、クラウドサービスを提供する事業者(クラウドサービスプロバイダー/CSP)とクラウドサービス利用者(企業など)との間で、クラウドサービスのセキュリティに関する責任を共有し合うための考え方のことを言います。
かつて一般的だったオンプレミス環境においては、企業ネットワーク内のデータやリソースに関するあらゆる責任は原則として企業自身が負っていました。しかしクラウド環境の場合、クラウドサービスの一部(例えばOSやハードウェアなど)についてはプロバイダーに管理が委任されるので、そのセキュリティに関する責任の一部もプロバイダーが負うことになります。そのため責任共有モデルに基づいて双方で責任を共有し、クラウドサービスの安全を保つための対策・管理を行っていく必要があります。
なお、プロバイダーと利用者、それぞれの責任範囲や内容は一律に決まるものではなく、クラウドサービスの種類やクラウドサービス利用条件 ・環境などによって異なります(※)。このため、両者で責任範囲とその内容について合意し契約で明⽰すること、または、SLA(※※)や利用規約を十分に確認した上で、その内容に同意して利用することが重要です。
※責任共有範囲の変動に影響する要因:クラウドサービスのタイプ、利用条件、マネージドサービスの有無、SIerやMSPなどのステークホルダー(利害関係者)の存在、サービスに特有の機能・性能など。
※※SLA(Service Level Agreement)とは、サービスレベルに関するクラウドプロバイダー・利用者間の合意書のことで、「サービス品質保証」とも呼ばれます。SLAには主に、例えば役割分解や責任分解点、免責事項、等の他に、サービスの稼働率、障害発生頻度、障害時の回復目標時間などが記載されます。
クラウドセキュリティにおける責任共有モデルの重要性
ではなぜ、責任共有モデルを理解することがクラウドセキュリティにおいて重要なのでしょうか?
まず、責任共有モデルを理解することにより、クラウド利用企業は自社の側でどこまで責任を負わねばならないのかを把握することができます。そうすることで、クラウド関連の問題や情報セキュリティインシデント(※)が発生しないようにするために自社で講じねばならない対策が明確になってきます。しかし反対に責任共有の考え方や責任範囲を把握できていないと、例えば、何らかのセキュリティ対策について「プロバイダーが対応してくれるから大丈夫」と想定していたものが、実際には利用者側の責任範囲であると定義されており、その対策が実施されなかったことからセキュリティ上の問題が発生した、などといった事態が生じる恐れがあります。
※クラウド関連のセキュリティリスクやクラウドセキュリティの概要については、こちらの記事で解説しています:「クラウドセキュリティとは?リスクや対策、クラウド事業者の比較ポイントなどについて解説!」
このように、責任共有モデルの理解は対策の見落としを防ぐことにもつながるほか、インシデント発生時にスムーズに対応を行う上でも役立ちます。
インシデント対応における責任共有
クラウド環境に関わるインシデントへの対応には、クラウド利用者だけでなくプロバイダーも関与することになります。したがってクラウド利用時には、事前のインシデント対応計画の段階から対応プロセスのどこにプロバイダーが関係してくるのか、の確認を行なっておくことが非常に重要です。クラウドサービスの利用契約やSLA、責任共有モデルを踏まえて双方の役割や義務などを確認し手順として整備しておくことで、実際にインシデントが発生した際に慌ててタスクの割り振りを行うことになる、同じタスクを複数の関係者が重複して行ってしまう、といった時間や労力のロスを防ぐことができます。
インシデント対応については、こちらの記事でも詳しく解説しています:「インシデント対応の4ステップとは?初動から事後までの流れをわかりやすく解説!」
サービスタイプごとの責任共有モデル図
クラウドサービスにおける利用者・プロバイダーそれぞれの管理責任の範囲は、各サービスタイプごとに以下のように分けられる場合が多いです。
(総務省「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」を参考に作成)
なお、この図はあくまで一般的な考え方を示したものであり、細かな責任分界点や責任範囲はプロバイダーやサービス、個々の契約内容などによって異なる場合があります。また、
場合によってはプロバイダーと利用者だけでなく、SIer(システム開発や構築を請け負う受託事業者)やMSP(マネージドサービスプロバイダー)などのステークホルダーが存在することもあります。そのようなケースでは、すべてのステークホルダーを含めた上で責任共有モデルを理解する必要性が出てきます。
また、ITサービスはさまざまな要素が組み合わされて成立していることが多く、例えば一見すると1つのサービスに思えるものでも、データベースはPaaS、WebサーバーはIaaS、認証の仕組みはSaaSといった具合に、実際には複数の要素が組み合わさっているということがあり得ます。したがって、複数のクラウドサービスを組み合わせた構成をSIerが構築する場合などにおいても、利用者は各サービスに関連するプロバイダーごとに責任範囲を明確化し、理解することが大切です。
利用者側で管理・対応しなければならない項目
なお、以下の4つの項目については、利用するクラウドサービスの形態にかかわらず、基本的に利用者側で管理・対応する必要があります。
・ポリシー(指針):利用者には、自組織のセキュリティポリシーや情報セキュリティ上のルール等に反しない状態でクラウドサービスを活用できるように管理・調整を行うことが求められます。
・設定:設定不備によるインシデントが発生しないよう、利用者はアクセス管理やシステムの詳細設定などを適切に行う必要があります。
・端末:クラウドサービスに接続する端末のセキュリティ対策は利用者側で行わなければなりません。
・データ:クラウドサービス上のデータの管理責任は、基本的に利用者側が負うことになります。
では次に、SaaS、PaaS、IaaSそれぞれの責任共有モデルについて見ていきましょう。
SaaSの責任共有モデル
SaaSとは
SaaS(サース、サーズ:Software as a Service)とは、Eメール、グループウェア、顧客管理、財務会計などのソフトウェア機能をインターネット経由で提供するサービスのことを言います。
<SaaSの例>
Google WorkspaceやMicrosoft Office 365、Dropbox、Slack、Zoomなど
SaaSにおける管理と責任共有
SaaSの利用者は、クラウドサービスプロバイダーが提供するアプリケーションを利用するためのデータや、アプリケーション上で生成したデータを管理(データの編集 ・削除等)する権限と責任を有することになります。アプリケーション層より下の実装、設定、更新、運用に関しては基本的にプロバイダー側が管理責任を負いますが、アカウント管理などの限定的な管理権限については利用者へ付与される場合もあります。
PaaSの責任共有モデル
PaaSとは
PaaS(パース:Platform as a Service)とは、仮想化されたアプリケーションサーバーやデータベースなどアプリケーション実行用のプラットフォーム機能をインターネット経由で提供するサービスのことを言います。
<PaaSの例>
Google App Engine(GAE)、Microsoft AzureやAmazon Web Service(AWS)の一部など。
PaaSにおける管理と責任共有
PaaSの利用者はデータの管理に加え、クラウドサービスプロバイダーとの契約 ・SLAに基づいて、アプリケーションの開発やアプリケーションに対する管理を行います。また、PaaS利用者はクラウドサービス事業者が提供するユーティリティインターフェース(プログラミング環境やSQL等)を介してミドルウェア層を利用するため、ミドルウェア層についても限定的な管理責任を負うことになります。
IaaSの責任共有モデル
IaaSとは
IaaS(アイアース、イアース:Infrastructure as a Service)とは、デスクトップ仮想化や共有ディスクといったハードウェアやインフラ機能をインターネット経由で提供するサービスのことです。
<IaaSの例>
Google Compute Engine(GCE)やAmazon Elastic Compute Cloud(EC2)など。
IaaSにおける管理と責任共有
IaaSの利用者は、プロバイダーから提供された仮想環境上で動作するすべてのソフトウェアの管理を行います。したがって、SaaSやPaaSの場合とは異なり、OSやミドルウェア層での障害対応や、ミドルウェアに対するパッチ適応や脆弱性対応についても利用者側が責任を負うことになります。
責任共有モデルとマネージドサービスプロバイダー(MSP)
クラウドサービスの運用をマネージドサービスプロバイダー(MSP)に委託している場合は、MSPも責任共有モデルに組み込まれます。MSPとは、クラウド利用者に代わってサービスを安全に設定したり、クラウドプラットフォーム上でアプリケーションを構築したり、稼働状況のモニタリングを行ったりといったマネージドサービスを提供する外部事業者のことを言います。
MSPを利用する際、クラウド利用者は主に以下のような対応を行う必要があります。
・事前および継続的な協議の中で、双方の責任範囲を明確化しておく。
・MSPが使用するクラウドアカウントには必要最小限の権限のみを付与することとし、「root」などの高い権限は与えないようにする。
・クラウドに関わるセキュリティインシデントが発生した場合にはMSPの協力が必要になるケースが多いため、インシデント対応時に協力してもらえるよう事前に調整しておく(契約時に協力を義務付ける条項を設けておく、等)。
責任共有モデルに関連するガイドライン
責任共有モデルについてさらに理解を深めたいという方には、以下に挙げるようなガイドラインの参照をお勧めします。
総務省「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版、2021年)」
クラウドサービスプロバイダーがクラウドサービスを提供する際に実施することが望ましい情報セキュリティ対策について記載したガイドラインです。第1部(序編)の第6章「クラウドサービス事業者とクラウドサービス利用者の責任」において、クラウドにおける責任共有の考え方などが解説されています。
NISC「クラウドを利用したシステム運用に関するガイダンス(2022年)」
クラウドサービス利用者向けの基本的なガイダンスで、もともとは重要インフラ事業者等に向けて策定され、のちに広く一般にも活用されるよう公表されました。第3章「クラウド事業者や利用者などのステークホルダーの責任等の理解」において、責任共有の考え方などが解説されています。
クラウドセキュリティアライアンス「クラウドインシデントレスポンス(CIR)フレームワーク(2021年)」
クラウドサービス関連のインシデントへの対応手法などについて解説したガイドラインです。インシデント対応の文脈における責任共有の考え方などが記載されたセクションがあります。
また、本記事ではあくまで責任共有モデルの基本的な部分のみを紹介していますが、クラウドセキュリティアライアンスのブログ記事「クラウドコンピューティングの進化と新たな責任共有モデル」では、SaaS、PaaS、IaaS以外のより新しいサービスモデル(K8s-aaS、CaaS、FaaS等)に関する責任共有の考え方が紹介されていますので、こちらも併せてご覧ください。
クラウドサービスプロバイダーのWebページ(AWS、Azure等)
上記3つのようなガイドラインとは少々趣旨が異なるものの、Amazon Web Service(AWS)やMicrosoft Azure、Google Cloudといった主要なクラウドサービスは、利用者とプロバイダー双方の責任範囲などについて解説したWebページを公開しています。利用者はこういったガイドを参考に責任共有モデルへの理解を深めることが可能です。
(参考)
・Amazon Web Service(AWS):「責任共有モデル」
・Microsoft Azure:「クラウドにおける共同責任」
・Google Cloud:「Google Cloud における責任の共有と運命の共有」
最後に
クラウドサービスを適切かつ安全に管理・運用するためには、そして万が一クラウド関連のインシデントが発生した際にスムーズに対応を進めるためには、責任共有モデルの考え方を理解することが非常に重要です。クラウド利用時にはプロバイダーやその他の関係者との間で各々の責任範囲を明確にし、安全なクラウド環境を維持するために自社がやるべき事項を把握するようにしましょう。
また、クラウドを適切に運用して情報漏洩などのリスクを低減させたい、安全にクラウドを運用していることを顧客や取引先に証明したい、といった要望のあるクラウド利用企業には、ISMSクラウドセキュリティ認証(ISO/IEC 27017)※の取得を検討してみることもお勧めします。
※関連記事:ISMSクラウドセキュリティ認証(ISO/IEC 27017)とは?制度概要や要求事項、取得のメリットなどについて解説
マキナレコードのISMSクラウドセキュリティ認証取得支援サービス
弊社マキナレコードでは、通常のISMS認証はもちろんのこと、ISMSクラウドセキュリティ認証の取得をお手伝いする支援サービスも提供しています。適用範囲の決定から運用、審査、取得まですべてのステップを通してサポートを行い、認証取得後の維持運用・更新まで、専任のコンサルタントが丁寧に支援いたします。
認証取得支援サービスについて詳しくは、弊社ホームページをご覧ください。
Writer
2015年に上智大学卒業後、ベンチャー企業に入社。2018年にオーストラリアへ語学留学し、大手グローバル電機メーカーでの勤務を経験した後、フリーランスで英日翻訳業をスタート。2021年からはマキナレコードにて翻訳業務や特集記事の作成を担当。情報セキュリティやセキュリティ認証などに関するさまざまな話題を、「誰が読んでもわかりやすい文章」で解説することを目指し、記事執筆に取り組んでいる。