SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day Special

2024年10月16日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

マルチクラウド時代のリスクマネジメント入門

その責任はクラウドベンダー側? それとも企業側? クラウドサービスの「責任分界点」をあらためて整理してみよう

 前回、クラウドサービスの利活用に際しての“不安の正体”について整理し、そのうえで、企業が正しく対策を行えばその不安については払拭できる旨を説明しました。そして、その対策の前提として、事前に踏まえておくべきであるのが「責任分界点」です。つまり、企業側とクラウドベンダー側の責任範囲を明確にし、クラウドベンダー側でフォローされない範囲を正しく理解し、そのうえで企業がセキュリティ対策等を含めた各施策を講じる必要があるということになります。今回はクラウドサービスの特徴(SaaS、PaaS、IaaS)を改めて確認したうえで、各クラウドサービスにおけるクラウドベンダー側/企業側それぞれの責任範囲の分界点(以降、責任分界点)を整理し、企業側で対応すべき事項/注意すべき事項について解説します。

クラウドサービスモデルと責任分界点

(1)クラウドサービスモデル

 クラウドサービスの責任分界点を整理するにあたっては、その提供機能の型(以降、クラウドサービスモデル)について理解する必要があります。すでに見知っている観点だと思いますが、クラウドサービスモデル毎に責任分界点が異なりますので、ここで改めて整理・提示します。  

 クラウドサービスモデルという言葉や分類については、米国国立標準技術研究所 (NIST: National Institute of Standards and Technology)の定義が一般的であり、SaaS(Software as a Service)、PaaS(Platform as a Service)、IaaS(Infrastructure as a Service)の3区分で示されます。

 連載冒頭からも言及している観点ですので詳細説明は割愛しますが、上記NISTの定義によると、「基礎的コンビューティングリソース全般」(IaaS)、「アプリケーションを実装・稼働させるための環境」(PaaS)、「クラウドサービスベンダー由来のアプリケーション」(SaaS)が、それぞれのクラウドサービスとして提供される機能となります。

(2)クラウドサービスモデルの特徴と管理主体

 クラウドサービスモデル毎に、その管理主体をシステム構成のレイヤー単位で大きく整理したものが図表1です。

図表1:クラウドサービスモデル(IaaS、PaaS、SaaS)と管理主体(例) (出典:KPMGコンサルティング)

 管理主体というのは、責任主体と近しい観念であり、それぞれのレイヤー毎にクラウドサービスベンダー側/企業側どちらが責任をもって管理を行うのかを示したものとなります。(もちろん、クラウドサービスを利用していて情報漏えいやシステム停止等が発生した場合、対顧客上の責任については往々にして企業側が担うことにはなります)

 まずSaaSについては基本的にクラウドサービスベンダー側が管理を行います。企業側としては一部、例えばアプリケーションのユーザID管理等を行う必要がありますが、基本的にクラウドサービスベンダー側の管理に依拠することとなります。

 次にPaaSについては企業側で実施すべき範囲が増えてきます。アプリケーションについてはクラウドサービスベンダー由来のものと、企業由来のもの双方が対象となり、それぞれが管理主体となります。またミドルウェア(OS,DB等)については基本的にクラウドサービスベンダー側が管理主体となりますが、バージョンアップに伴うアプリケーションへの影響検証等については企業側で行う必要があります。

 最後にIaaSについては企業側とクラウドサービスベンダー側で完全に分担管理するイメージとなります。アプリケーションは(一部クラウドサービスベンダー由来のものは除外するものの)基本的に企業側の管理が主体となりますし、ミドルウェアについても企業側で設定を行う領域が多くなります。ネットワークについても自社オンプレミスサーバとの連携発生が多くなることから、企業側で個別にファイアーウォール等の設置や設定を行うことになります。

 全体として、SaaS⇒PaaS⇒IaaSとクラウドサービスとしての利用レイヤーが広がるにしたがい企業側での役割が増えていくことが見てとれます。一方で逆にいえば、IaaS⇒PaaS⇒SaaSとクラウドサービスとしての利用レイヤーが狭くなるにしたがい、クラウドサービスベンダー側の管理に依拠する範囲が広がることにも留意する必要があります(こちらについては別の回で解説します)。これらの特徴をふまえて、責任分界点を識別し、自社での管理施策について講じる必要があります。

次のページ
責任分界点について特に留意すべき領域・対象

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
マルチクラウド時代のリスクマネジメント入門連載記事一覧

もっと読む

この記事の著者

宮脇 篤史(ミヤワキ アツシ)

KPMGコンサルティング株式会社 ディレクター国内システムインテグレーターにて業務用システムの企画・開発・運用および一連の管理業務に従事した後、2006年にKPMGビジネスアシュアランス(現KPMGコンサルティング)に入社。同社にてシステムリスク管理態勢の構築支援やシステム導入プロジェクト管理、シス...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/10745 2018/05/29 06:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング