クラウドサービスモデルと責任分界点
(1)クラウドサービスモデル
クラウドサービスの責任分界点を整理するにあたっては、その提供機能の型(以降、クラウドサービスモデル)について理解する必要があります。すでに見知っている観点だと思いますが、クラウドサービスモデル毎に責任分界点が異なりますので、ここで改めて整理・提示します。
クラウドサービスモデルという言葉や分類については、米国国立標準技術研究所 (NIST: National Institute of Standards and Technology)の定義が一般的であり、SaaS(Software as a Service)、PaaS(Platform as a Service)、IaaS(Infrastructure as a Service)の3区分で示されます。
連載冒頭からも言及している観点ですので詳細説明は割愛しますが、上記NISTの定義によると、「基礎的コンビューティングリソース全般」(IaaS)、「アプリケーションを実装・稼働させるための環境」(PaaS)、「クラウドサービスベンダー由来のアプリケーション」(SaaS)が、それぞれのクラウドサービスとして提供される機能となります。
(2)クラウドサービスモデルの特徴と管理主体
クラウドサービスモデル毎に、その管理主体をシステム構成のレイヤー単位で大きく整理したものが図表1です。
図表1:クラウドサービスモデル(IaaS、PaaS、SaaS)と管理主体(例) (出典:KPMGコンサルティング)
管理主体というのは、責任主体と近しい観念であり、それぞれのレイヤー毎にクラウドサービスベンダー側/企業側どちらが責任をもって管理を行うのかを示したものとなります。(もちろん、クラウドサービスを利用していて情報漏えいやシステム停止等が発生した場合、対顧客上の責任については往々にして企業側が担うことにはなります)
まずSaaSについては基本的にクラウドサービスベンダー側が管理を行います。企業側としては一部、例えばアプリケーションのユーザID管理等を行う必要がありますが、基本的にクラウドサービスベンダー側の管理に依拠することとなります。
次にPaaSについては企業側で実施すべき範囲が増えてきます。アプリケーションについてはクラウドサービスベンダー由来のものと、企業由来のもの双方が対象となり、それぞれが管理主体となります。またミドルウェア(OS,DB等)については基本的にクラウドサービスベンダー側が管理主体となりますが、バージョンアップに伴うアプリケーションへの影響検証等については企業側で行う必要があります。
最後にIaaSについては企業側とクラウドサービスベンダー側で完全に分担管理するイメージとなります。アプリケーションは(一部クラウドサービスベンダー由来のものは除外するものの)基本的に企業側の管理が主体となりますし、ミドルウェアについても企業側で設定を行う領域が多くなります。ネットワークについても自社オンプレミスサーバとの連携発生が多くなることから、企業側で個別にファイアーウォール等の設置や設定を行うことになります。
全体として、SaaS⇒PaaS⇒IaaSとクラウドサービスとしての利用レイヤーが広がるにしたがい企業側での役割が増えていくことが見てとれます。一方で逆にいえば、IaaS⇒PaaS⇒SaaSとクラウドサービスとしての利用レイヤーが狭くなるにしたがい、クラウドサービスベンダー側の管理に依拠する範囲が広がることにも留意する必要があります(こちらについては別の回で解説します)。これらの特徴をふまえて、責任分界点を識別し、自社での管理施策について講じる必要があります。
