最近やたらとこのキーワードを目にするようになってきました。クラウドセキュリティといっても、だれがどういう立場でクラウドを使っているのかによって、中身はかなり変わってきます。

 

クラウドサービスプロバイダ(CSP)、具体的にはアマゾン、マイクロソフト、グーグルのようにクラウドサービスを提供している側がどこまで責任を負っているかを思い浮かべますが、クラウドのどの機能レイヤを使うのかによって変わります。

 

責任共有モデルと言われてますが、IaaS、PaaS、SaaS　などによってCSPと利用者の責任範囲が変化する。

 

CSPは、セキュリティ機能については、無償の範囲と、機能はあるが有償です　というようにいろいろと提供しているのですが、使う側があまり理解していなかったり、コストがかかるので使わない等、いろいろな状況になっていそうです。

 

誰かが作ったSaaSのシステムを利用して、自社の業務サービスをユーザに提供します　というような場合、SaaSサービスを提供しているベンダーがどのようなセキュリティをどこまで担うことになっているのか、を契約などで縛ったり、最低限どのようなセキュリティ仕様なのかを事前によく調査検討すべきですが、これがおろそかになっていることが多い。

 

もし、情報漏えいなどが発生した場合、「そこはSaaS業者の責任なので当社は無罪です」と言っても、通用するでしょうか。最低でも”監督責任”は発生します。

 

監督責任とは、どこまで把握して、どの程度のリスクをどこまで負うことになっていたのか　など事前の評価やインシデント時の体制などを問われることになる。

 

クラウドは便利かもしれませんが、相応の代償もあるという覚悟も必要です。