クラウドサービスの管理が不十分で情報漏えいした――こんなセキュリティ事故が起きたとき、一体誰が責任を取ればいいのだろうか。サービスを提供した事業者だろうか。それとも利用企業なのか。

 実は、クラウドサービスの多くは、サービスやインフラの管理・保守、トラブル発生時の責任を事業者と利用企業の間で分担する「責任共有モデル」を採用している。契約時に責任を負う範囲を決めておくのだ。

 しかしコロナ禍で「取りあえずクラウドを使おう」という動きが広がり、こうした前提を把握できていないクラウドサービスの利用企業も少なくないと、総務省の広瀬一朗参事官補佐(サイバーセキュリティ統括官室)は指摘する。

 では、クラウドサービス利用企業はどのようなことに注意すべきか。総務省はクラウドサービス提供事業者向けの情報セキュリティ対策ガイドラインを2021年9月に改定し、責任共有モデルの内容を拡充した。改定を担った広瀬参事官補佐と佐々木弘和主査(サイバーセキュリティ統括官室)に解説してもらった。

●責任分界点とは SaaS・PaaS・IaaSの3つを解説

 責任共有モデルは、クラウドサービス提供事業者と利用企業がそれぞれ責任を負うという考え方を指す。例えば、事業者はクラウド上の情報へのアクセス権限を設定する機能を提供し、利用企業は外部からのアクセス許可や権限設定を行う、という具合だ。この責任範囲を示すのが「責任分界点」だ。

 利用企業は責任分界点をきちんと把握し、自らが担う範囲を認識することが重要になる。総務省はガイドライン内でSaaS・PaaS・IaaSの一般的な責任分界点について、クラウドサービスを「データ」「アプリケーション」「ミドルウェア」「OS」「仮想環境」「ハードウェア」「ネットワーク」「施設・電源」の8層に分けて説明している。

SaaSの責任分界点 利用企業にはデータ管理の権限・責任

 SaaSは、事業者が提供するソフトウェアをインターネット経由で使う仕組みで、メールサービスや顧客管理システムなどがこれに当たる。事業者が提供するサービスはアプリケーションやOSの管理まで含んでいるが、事業者に丸投げというわけにはいかない。

 利用企業はユーザーIDなどソフトウェア上のデータ管理を行う権限・責任がある。加えて、ソフトウェア利用の権限設定などアプリケーション管理の一部を利用企業が担うこともある。

PaaSの責任分界点 セキュリティ機能の正しい設定が必要

 PaaSは、アプリケーションや情報システムの開発・実行に必要なOSやミドルウェアなどのプラットフォームを事業者が提供するものだ。OSやミドルウェアなどは事業者が管理し、データやアプリケーションの管理は利用企業が担う。

 PaaSを使うときの注意点として、バックアップやデータ暗号化、ファイアウォールなど事業者が提供するセキュリティ機能を正しく理解して設定する必要がある。

IaaSの責任分界点 アプリケーションの障害対応まで利用企業の責任

 IaaSは、CPUやメモリ、ストレージなど開発に必要なインフラを仮想環境で使えるサービスだ。仮想環境やハードウェアなどの管理・責任を事業者が担い、仮想環境上で動作しているOSを含めた全てのソフトウェアの管理を利用企業が行う。そのため、アプリケーションやOSの障害対応や、ミドルウェアへのパッチ適応や脆弱性対応などは利用企業の責任になる。

 ここまで3種類のクラウドサービスを取り上げたが、責任分界点は利用環境や契約ごとに異なる。佐々木主査は「説明したのは一般的な例。型にはめて考えると(責任範囲を見落とすなど)逆に危険だということに留意してほしい」と注意を呼び掛けた。

●責任分界点の把握は、セキュリティ事故への備え

 責任共有モデルは、利用企業が把握することが大前提だ。事業者側が責任範囲を明確にして明文化していても、利用企業が把握していなければセキュリティ事故につながる可能性がある。この場合、契約上は利用企業の責任が問われるため、きちんとチェックする必要があると佐々木主査は話す。

 万が一セキュリティ事故が起きたときに備えて、対応を利用企業と事業者の間で相互認識しておく必要がある。その際にどちらが責任を取るか明確にするためにも、責任分界点の把握が重要となる。

●クラウドサービスの提供形態が複雑化 「関係するサービスを気にすると良い」

 クラウドサービスの提供形態が複雑化している場合もある。「Amazon Web Services」や「Microsoft Azure」のようなPaaS・IaaSの上に独自のSaaSを構築したり、API連携などで複数のサービスを合わせて1つのクラウドサービスとして提供したりする事例だ。

 複数の事業者が関わっている場合、基本的には利用企業と直接契約する事業者との間で責任範囲を明確化することが重要になる。

 佐々木主査は「使うサービスの背後にどんなクラウドサービスが関わっているかを気にすると良い。例えばIaaSの基盤が海外にあり、そこにデータが蓄積されていることを把握せず利用するのはリスクが高い」とアドバイスする。障害が起きたときの原因把握や対応スピードにも差が出る。

●事業者が提供する設定確認ツールの活用を推奨

 総務省はクラウドサービスを提供する事業者に対して、利用企業がサービスの利用環境やリスクなどを判断できる情報を提供するよう求めている。クラウドの設定内容を確認するツールや理解促進に役立つ資料を提供している事業者もあるといい、利用企業にはこうした情報の積極的な活用を推奨している。

 「一概に利用企業側の問題だけでセキュリティ事故が起きるわけではなく、事業者側にもできることはある」(佐々木主査)として、同省は利用企業と事業者それぞれ意見を聞きながら「どちらが悪い」ではなくお互いに安心安全なクラウドサービスを目指し、22年3月までに新たな施策を行う予定だ。