クラウドからの情報漏えい、責任は誰に？　SaaSやPaaSの大前提「責任共有モデル」とは　総務省が解説（1/2 ページ）

[荒岡瑛一郎，ITmedia]

　クラウドサービスの管理が不十分で情報漏えいした――こんなセキュリティ事故が起きたとき、一体誰が責任を取ればいいのだろうか。サービスを提供した事業者だろうか。それとも利用企業なのか。

　実は、クラウドサービスの多くは、サービスやインフラの管理・保守、トラブル発生時の責任を事業者と利用企業の間で分担する「責任共有モデル」を採用している。契約時に責任を負う範囲を決めておくのだ。

　しかしコロナ禍で「取りあえずクラウドを使おう」という動きが広がり、こうした前提を把握できていないクラウドサービスの利用企業も少なくないと、総務省の広瀬一朗参事官補佐（サイバーセキュリティ統括官室）は指摘する。

　では、クラウドサービス利用企業はどのようなことに注意すべきか。総務省はクラウドサービス提供事業者向けの情報セキュリティ対策ガイドラインを2021年9月に改定し、責任共有モデルの内容を拡充した。改定を担った広瀬参事官補佐と佐々木弘和主査（サイバーセキュリティ統括官室）に解説してもらった。

責任分界点とは　SaaS・PaaS・IaaSの3つを解説

　責任共有モデルは、クラウドサービス提供事業者と利用企業がそれぞれ責任を負うという考え方を指す。例えば、事業者はクラウド上の情報へのアクセス権限を設定する機能を提供し、利用企業は外部からのアクセス許可や権限設定を行う、という具合だ。この責任範囲を示すのが「責任分界点」だ。

　利用企業は責任分界点をきちんと把握し、自らが担う範囲を認識することが重要になる。総務省はガイドライン内でSaaS・PaaS・IaaSの一般的な責任分界点について、クラウドサービスを「データ」「アプリケーション」「ミドルウェア」「OS」「仮想環境」「ハードウェア」「ネットワーク」「施設・電源」の8層に分けて説明している。

SaaSの責任分界点　利用企業にはデータ管理の権限・責任

　SaaSは、事業者が提供するソフトウェアをインターネット経由で使う仕組みで、メールサービスや顧客管理システムなどがこれに当たる。事業者が提供するサービスはアプリケーションやOSの管理まで含んでいるが、事業者に丸投げというわけにはいかない。

　利用企業はユーザーIDなどソフトウェア上のデータ管理を行う権限・責任がある。加えて、ソフトウェア利用の権限設定などアプリケーション管理の一部を利用企業が担うこともある。

PaaSの責任分界点　セキュリティ機能の正しい設定が必要

　PaaSは、アプリケーションや情報システムの開発・実行に必要なOSやミドルウェアなどのプラットフォームを事業者が提供するものだ。OSやミドルウェアなどは事業者が管理し、データやアプリケーションの管理は利用企業が担う。

　PaaSを使うときの注意点として、バックアップやデータ暗号化、ファイアウォールなど事業者が提供するセキュリティ機能を正しく理解して設定する必要がある。

IaaSの責任分界点　アプリケーションの障害対応まで利用企業の責任

　IaaSは、CPUやメモリ、ストレージなど開発に必要なインフラを仮想環境で使えるサービスだ。仮想環境やハードウェアなどの管理・責任を事業者が担い、仮想環境上で動作しているOSを含めた全てのソフトウェアの管理を利用企業が行う。そのため、アプリケーションやOSの障害対応や、ミドルウェアへのパッチ適応や脆弱性対応などは利用企業の責任になる。

　ここまで3種類のクラウドサービスを取り上げたが、責任分界点は利用環境や契約ごとに異なる。佐々木主査は「説明したのは一般的な例。型にはめて考えると（責任範囲を見落とすなど）逆に危険だということに留意してほしい」と注意を呼び掛けた。