// シス担のミカタ
クラウドセキュリティ

クラウドの責任共有モデル くらうどのせきにんきょうゆうもでる

IaaSPaaSSaaSセキュリティ責任クラウドプロバイダーコンプライアンス
クラウドの責任共有モデルについて教えて

簡単に言うとこんな感じ!

クラウドって「全部お任せ」じゃないんだよ!マンションみたいなもので、建物の管理は大家さん(クラウド事業者)がやるけど、部屋の鍵管理や火の始末は住人(あなたの会社)の責任ってこと!セキュリティの担当範囲が決まってるんだ。

クラウドの責任共有モデルとは

責任共有モデル(Shared Responsibility Model)とは、クラウドサービスを使う際に「セキュリティや運用の責任を、クラウド事業者と利用者がどう分担するか」を定めた考え方です。クラウドを使えば「セキュリティは全部クラウド事業者がやってくれる」と思われがちですが、実際には利用者側にも明確な責任範囲があります。

たとえばAWS・Azure・Google Cloudといった主要クラウドはいずれもこのモデルを公式に採用しており、「クラウドのセキュリティ自体はクラウド事業者の責任、クラウドの中にあるもの(データや設定)は利用者の責任」という原則を掲げています。この線引きを知らずにいると、情報漏洩事故が起きたときに「クラウドを使っていたのに、なぜ自社が責任を問われるの?」という事態になりかねません。

システム発注や導入の判断をする立場では、このモデルを理解していないと、セキュリティ対策の抜け漏れや、ベンダーとの責任の押しつけ合いが起こります。「どこまでが委託先の責任で、どこからが自社の責任か」を契約前に確認することが、トラブル回避の第一歩です。

責任の分担はサービス形態で変わる

クラウドサービスには大きく3つの形態があり、形態によって利用者とクラウド事業者の責任範囲が変わります。

責任の対象オンプレミス(自社運用)IaaSPaaSSaaS
データ・コンテンツ利用者利用者利用者利用者
アカウント・アクセス管理利用者利用者利用者利用者
アプリケーション利用者利用者利用者事業者
OS・ミドルウェア利用者利用者事業者事業者
仮想化・ネットワーク利用者事業者事業者事業者
サーバー・ストレージ利用者事業者事業者事業者
物理設備・施設利用者事業者事業者事業者

IaaS(Infrastructure as a Service):仮想サーバーを借りるイメージ。EC2やAzure VMなど。
PaaS(Platform as a Service):アプリ開発環境を借りるイメージ。Google App Engineなど。
SaaS(Software as a Service):完成したソフトをそのまま使うイメージ。Google WorkspaceやSalesforceなど。

覚え方:「中身は自分、箱は事業者」

クラウドをレンタル倉庫に例えると、倉庫の建物・鍵のシステム・防犯カメラは倉庫業者の責任。でも倉庫に預ける荷物の管理・施錠・在庫確認はあなたの責任です。SaaSになるほど倉庫業者がやってくれることは増えますが、「何を預けるか」「誰にアクセス権を与えるか」は常に利用者の責任として残ります。

利用者が常に責任を持つ3つの領域

どのサービス形態でも、利用者側の責任から外れることがない領域があります。

  1. データの保護と分類 — どんなデータをクラウドに置くか、暗号化するか
  2. アカウント・ID管理 — 誰にどの権限を与えるか(IAM設定)
  3. エンドポイントの保護 — クラウドにアクセスするPCやスマホのセキュリティ

歴史と背景

  • 2000年代前半クラウドコンピューティングの黎明期。セキュリティ責任の所在が曖昧なまま普及が進む
  • 2006年 — AWSがEC2・S3を一般公開。IaaSの商用利用が本格化し、責任範囲の整理が急務に
  • 2010年代前半 — クラウド起因のデータ漏洩事故が相次ぐ。「クラウドは危ない」論争が活発化
  • 2013年頃 — AWS・Microsoftが公式ドキュメントで責任共有モデルを明示。業界標準の考え方として定着
  • 2016年 — NIST(米国標準技術研究所)がクラウドセキュリティの標準ガイドライン(SP 800-144など)を整備
  • 2018年以降GDPRなどの個人情報保護規制が強化され、「データの責任は利用者にある」が法的にも明確化
  • 現在 — 日本でも政府情報システムのクラウド化(ガバメントクラウド)が進み、責任共有モデルの理解が調達要件に含まれるようになった

IaaS・PaaS・SaaSの責任範囲を図で比べる

責任共有モデル:サービス形態ごとの責任範囲 オンプレミス IaaS PaaS SaaS データ・コンテンツ データ・コンテンツ データ・コンテンツ データ・コンテンツ アカウント管理 アカウント管理 アカウント管理 アカウント管理 アプリケーション アプリケーション アプリケーション アプリケーション OS・ミドルウェア OS・ミドルウェア OS・ミドルウェア OS・ミドルウェア 仮想化・NW 仮想化・NW 仮想化・NW 仮想化・NW サーバー・ストレージ サーバー・ストレージ サーバー・ストレージ サーバー・ストレージ 物理設備・施設 物理設備・施設 物理設備・施設 物理設備・施設 利用者の責任 事業者の責任

実務で気をつけたいポイント

  • 「SaaSだから安心」は危険 — SaaSでも誤った権限設定(全社員が全データを見られる等)は利用者責任です
  • バックアップはどちらの責任? — クラウドストレージの障害バックアップは事業者が担うが、論理削除(誤ってファイルを消した)の復旧は利用者側で対策が必要なことが多い
  • 契約書・SLAの確認 — 責任範囲は各社の利用規約・SLA(サービス品質保証)に明記されているため、導入前に必ず確認する

関連する規格・RFC

規格・RFC番号内容
NIST SP 800-144パブリッククラウドにおけるセキュリティとプライバシーのガイドライン(NISTによる責任共有モデルの基盤文書)
ISO/IEC 27017クラウドサービスにおける情報セキュリティ管理策の実践規範(クラウド固有の責任分担を規定)
ISO/IEC 27018パブリッククラウドにおける個人情報保護の実践規範

関連用語

  • IaaS — 仮想サーバーやストレージをインターネット経由で提供するクラウドの基盤サービス
  • PaaS — アプリ開発・実行環境をクラウドで提供するサービス形態
  • SaaS — 完成したソフトウェアをインターネット経由で提供するサービス形態
  • IAM(Identity and Access Management) — クラウド上のユーザー・権限を管理する仕組み。利用者責任の核心
  • ゼロトラスト — 「社内ネットワークだから安全」を前提にしないセキュリティモデル
  • SLA(サービスレベル合意) — クラウド事業者が保証するサービス品質の取り決め
  • GDPR — EUの個人情報保護規制。データの責任主体を明確に定める
  • クラウドセキュリティ — クラウド利用時のセキュリティ対策全般の総称