Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

その責任はクラウドベンダー側? それとも企業側? クラウドサービスの「責任分界点」をあらためて整理してみよう

2018/05/29 06:00

 前回、クラウドサービスの利活用に際しての“不安の正体”について整理し、そのうえで、企業が正しく対策を行えばその不安については払拭できる旨を説明しました。そして、その対策の前提として、事前に踏まえておくべきであるのが「責任分界点」です。つまり、企業側とクラウドベンダー側の責任範囲を明確にし、クラウドベンダー側でフォローされない範囲を正しく理解し、そのうえで企業がセキュリティ対策等を含めた各施策を講じる必要があるということになります。今回はクラウドサービスの特徴(SaaS、PaaS、IaaS)を改めて確認したうえで、各クラウドサービスにおけるクラウドベンダー側/企業側それぞれの責任範囲の分界点(以降、責任分界点)を整理し、企業側で対応すべき事項/注意すべき事項について解説します。

クラウドサービスモデルと責任分界点

(1)クラウドサービスモデル

 クラウドサービスの責任分界点を整理するにあたっては、その提供機能の型(以降、クラウドサービスモデル)について理解する必要があります。すでに見知っている観点だと思いますが、クラウドサービスモデル毎に責任分界点が異なりますので、ここで改めて整理・提示します。  

 クラウドサービスモデルという言葉や分類については、米国国立標準技術研究所 (NIST: National Institute of Standards and Technology)の定義が一般的であり、SaaS(Software as a Service)、PaaS(Platform as a Service)、IaaS(Infrastructure as a Service)の3区分で示されます。

 連載冒頭からも言及している観点ですので詳細説明は割愛しますが、上記NISTの定義によると、「基礎的コンビューティングリソース全般」(IaaS)、「アプリケーションを実装・稼働させるための環境」(PaaS)、「クラウドサービスベンダー由来のアプリケーション」(SaaS)が、それぞれのクラウドサービスとして提供される機能となります。

(2)クラウドサービスモデルの特徴と管理主体

 クラウドサービスモデル毎に、その管理主体をシステム構成のレイヤー単位で大きく整理したものが図表1です。

図表1:クラウドサービスモデル(IaaS、PaaS、SaaS)と管理主体(例) (出典:KPMGコンサルティング)

 管理主体というのは、責任主体と近しい観念であり、それぞれのレイヤー毎にクラウドサービスベンダー側/企業側どちらが責任をもって管理を行うのかを示したものとなります。(もちろん、クラウドサービスを利用していて情報漏えいやシステム停止等が発生した場合、対顧客上の責任については往々にして企業側が担うことにはなります)

 まずSaaSについては基本的にクラウドサービスベンダー側が管理を行います。企業側としては一部、例えばアプリケーションのユーザID管理等を行う必要がありますが、基本的にクラウドサービスベンダー側の管理に依拠することとなります。

 次にPaaSについては企業側で実施すべき範囲が増えてきます。アプリケーションについてはクラウドサービスベンダー由来のものと、企業由来のもの双方が対象となり、それぞれが管理主体となります。またミドルウェア(OS,DB等)については基本的にクラウドサービスベンダー側が管理主体となりますが、バージョンアップに伴うアプリケーションへの影響検証等については企業側で行う必要があります。

 最後にIaaSについては企業側とクラウドサービスベンダー側で完全に分担管理するイメージとなります。アプリケーションは(一部クラウドサービスベンダー由来のものは除外するものの)基本的に企業側の管理が主体となりますし、ミドルウェアについても企業側で設定を行う領域が多くなります。ネットワークについても自社オンプレミスサーバとの連携発生が多くなることから、企業側で個別にファイアーウォール等の設置や設定を行うことになります。

 全体として、SaaS⇒PaaS⇒IaaSとクラウドサービスとしての利用レイヤーが広がるにしたがい企業側での役割が増えていくことが見てとれます。一方で逆にいえば、IaaS⇒PaaS⇒SaaSとクラウドサービスとしての利用レイヤーが狭くなるにしたがい、クラウドサービスベンダー側の管理に依拠する範囲が広がることにも留意する必要があります(こちらについては別の回で解説します)。これらの特徴をふまえて、責任分界点を識別し、自社での管理施策について講じる必要があります。

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 宮脇 篤史(ミヤワキ アツシ)

    KPMGコンサルティング株式会社 シニアマネジャー 国内システムインテグレーターにて業務用システムの企画・開発・運用および一連の管理業務に従事した後、2006年にKPMGビジネスアシュアランス(現KPMGコンサルティング)に入社。同社にてシステムリスク管理態勢の構築支援やシステム導入プロジェクト管...

バックナンバー

連載:マルチクラウド時代のリスクマネジメント入門
All contents copyright © 2007-2018 Shoeisha Co., Ltd. All rights reserved. ver.1.5