クラウドサービスの活用が広がりを見せるのと比例して、設定ミスに起因するセキュリティ事故も発生している。情報漏えいのニュースが報じられるたび「クラウドで大丈夫か」という不安が広がる。結果として、手間を増やすガイドラインだけが積み重なっていく──クラウドサービスの導入が進む中では、こんな企業もあるかもしれない。
設定ミスが起きるということは、担当者がサービスを十分に理解していない証でもある。類似の事故が報じられる中、こうした理解不足はなぜなくならないのか。
ガートナー ジャパンの亦賀(またが)忠明さん(ディスティングイッシュトバイス プレジデントアナリスト)によれば、日本企業の多くがこれまでのオンプレミスを中心としたITシステムの捉え方に引きずられ、クラウド利用の基本的な前提である「責任共有モデル」を理解できていないためという。
企業向けのクラウドサービスで、ユーザー側の設定ミスなどによる情報漏えいが相次いでいます。この特集ではSaaSのメリットやリスク、正しく使いこなすための心構えをあらためて探ります。
本特集の過去記事でも指摘されてきた通り、IaaSはもちろん、PaaS、SaaSなど一連のクラウドサービスでは、サービスを提供する事業者と利用企業がそれぞれ責任を分担する責任共有モデルに基づくセキュリティ対策が前提となっている。
責任を分割する基準はIaaS、PaaS、SaaSなど、サービスの提供形態ごとに異なる。クラウドセキュリティに関する情報発信を行う非営利法人・Cloud Security Allianceは、「Kubernetes」をはじめとするコンテナ技術の広がりを受け、さらに複雑な責任共有モデルも提示しており、その基準はさまざまだ。
しかしどんな形態でも、サービス利用する際に必要となるIDの管理やデータそのものの保持といった部分は、基本的にユーザー企業の責任になる。日本企業の多くは、SIerに丸投げしてきた、オンプレミスを中心としたITシステムの捉え方が抜けておらず、この理屈を理解できていないという。
「SIerに運用を『任せる』という考え方の延長で『クラウドに預けられますよね』『任せられますよね』という人がいますが、これは根本的な勘違い。クラウドというのは基本的に、個別のカスタムが当たり前のサービスではなく、事業者がどこまでを提供するかの境界がはっきり存在している」
亦賀さんがこれまで見てきた中には、責任共有モデルの考え方を聞いて怒り出すユーザー企業もいたという。亦賀さんはこういった企業について、自身が請け負うべき責任の範囲を理解しないままクラウドを運用していると指摘。あるべきクラウドの使い方について自動車に例えてこう話す。
「自動車という製品そのものにも、すぐに壊れてはいけないし、事故につながってはいけないといった責任がある。このように事業者が最低限の品質や安全性を担保するのは当たり前だが、その使い方を学び、免許を取って安全運転をするのは使う側の責任」
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR