責任共有モデル：自社の責務を理解し、不要なリスクを回避するために

「責任共有モデル」は決して新しい概念ではありませんが、サイバー犯罪者がクラウドセキュリティの脆弱性を悪用するために手口を絶えず進化・適応させているため、今日においても依然として重要な意味を持っています。さらに、組織が業務をクラウドプラットフォームへ移行する動きが加速していることから、双方にとってそれぞれのセキュリティ上の責任を十分に理解し、果たすことが不可欠となっています。責任共有モデルを理解することで、組織はクラウドセキュリティ体制を強化し、貴重なデータやアプリケーションをサイバー脅威から保護することができます。

本記事では、責任共有モデルについて詳細に解説し、クラウドサービスプロバイダーとクライアント双方の主要な責任の概要を説明します。また、このモデルのメリットとデメリットを掘り下げ、WithSecure^TM Cloud Protection for Salesforceを活用して、クラウド環境におけるセキュリティを強化し、責任を適切に果たすための知見を提供します。

責任共有モデルはクラウドセキュリティにどのような影響を与えるか？

責任共有モデルは、クラウドサービスプロバイダーと顧客双方の責任範囲を定義することで、クラウドセキュリティの形成において重要な役割を果たします。これらの責任を明確に定めることで、このモデルはクラウドセキュリティのあらゆる側面が包括的に対処されることを保証し、サイバー犯罪者による脆弱性の悪用リスクを低減します。

責任共有モデルの主な利点の一つは、クラウドサービスプロバイダーが基盤となるインフラのセキュリティに注力できる一方で、クライアントは自社のデータやアプリケーションの保護に集中できる点です。この役割分担により、セキュリティ対策が合理化され効率化され、より強固なクラウドセキュリティ体制が実現します。

しかし、責任共有モデルには課題も存在します。最適なクラウドセキュリティを実現するためには、双方がそれぞれの役割を明確に理解し、効果的に連携する必要があるからです。これを怠ると、脆弱性が見落とされ、組織がデータ盗難、データ損失、その他のサイバー脅威にさらされる可能性があります。

責任共有モデルにおけるクラウドサービスプロバイダーの責任とは何ですか？

責任共有モデルにおいて、クラウドサービスプロバイダーは、顧客のデータやアプリケーションを支える基盤インフラのセキュリティを確保する責任を負います。これには、以下のような責任が含まれます：

1. 物理的セキュリティ： クラウドサービスプロバイダーは、データセンターやその他の施設を、不正アクセス、侵入、自然災害から保護しなければなりません。これには、厳格なアクセス制御、監視システム、および災害復旧対策の実施が含まれます。

2. ネットワークセキュリティ： プロバイダーは、分散型サービス拒否（DDoS）攻撃、マルウェア、フィッシング攻撃などのサイバー脅威からネットワークを保護する責任を負います。これには、これらの脅威から保護するためのファイアウォール、侵入検知システム、およびその他のセキュリティ対策の導入が含まれます。

3. プラットフォームおよびインフラのセキュリティ： クラウドサービスプロバイダーは、顧客のデータやアプリケーションをホストするプラットフォームおよびインフラのセキュリティも確保しなければなりません。これには、潜在的な脅威から保護するために、暗号化、パッチ管理、脆弱性スキャンなどのセキュリティ対策を実施することが含まれます。

4. コンプライアンス： プロバイダーは、自社のサービスが関連する規制および業界固有のコンプライアンス要件を満たしていることを保証する責任があります。これには、各種規制に準拠するために、認証の取得、監査の実施、および特定のセキュリティ対策の導入が含まれる場合があります。

責任共有モデルにおけるクライアントの責任とは何ですか？

一方、クライアントは、サービスプロバイダーが提供するクラウド環境内において、自身のデータとアプリケーションのセキュリティを確保する責任を負います。クライアントの主な責任には以下が含まれます：

1. データ保護： クライアントは、暗号化、アクセス制御、その他のセキュリティ対策を実施することで、データを保護しなければなりません。これには、転送中のデータだけでなく、クラウド環境内に保存されているデータ（データ・アット・レスト）の保護も含まれます。

2. アプリケーションのセキュリティ： クライアントは、自社のアプリケーションが安全であり、脆弱性がないことを確保する責任を負います。これには、潜在的な脅威を特定し対処するために、定期的な脆弱性評価、ペネトレーションテスト、およびパッチ管理を実施することが含まれます。

3. アイデンティティおよびアクセス管理： クライアントは、クラウドリソースやアプリケーションにアクセスできるユーザーを制御するために、堅牢なアイデンティティおよびアクセス管理ポリシーを実装しなければなりません。これには、多要素認証の設定、ユーザーアクティビティの監視、および必要に応じてアクセス権の取り消しが含まれます。

4. コンプライアンス： クライアントは、クラウドサービスの利用が関連する規制および業界固有のコンプライアンス要件を満たしていることを保証する責任も負います。これには、特定のセキュリティ対策の実施、監査の実施、および認証の取得が含まれる場合があります。

責任共有モデルのメリットとデメリットは何ですか？

責任共有モデルが業界全体でこれほど確立されているという事実は、それがサプライヤーとクライアントの両方にもたらすメリットの証左です。例えば前述の通り、責任の明確化により双方の理解が深まり、各々が自身の領域に集中できるため、サイバー攻撃者に対してより強固な連携体制を築くことが可能になります。さらに、セキュリティ責任を分担することで、企業はクラウドにおけるセキュリティ対策の導入および維持に関連するコストを削減できます。これにより、組織はリソースをより効果的に配分し、中核となる事業運営に注力できるようになります。

とはいえ、このモデルは完璧ではなく、潜在的な悪影響を軽減するためには、関連する欠点を理解することが重要です：

• 意思疎通の齟齬が生じる可能性：SRMは、クラウドサービスプロバイダーとクライアント間の明確なコミュニケーションに依存しています。誤解やコミュニケーションの齟齬は、脆弱性やセキュリティリスクにつながる可能性があります。
• プロバイダーへの過度な依存：一部のクライアント、特にITへの依存度が比較的低い業界の企業は、クラウドサービスプロバイダーに過度に依存し、自社のセキュリティ責任を怠ってしまう可能性があります。その結果、クラウド環境が潜在的な脅威にさらされる恐れがあります。
• コンプライアンス上の課題：業界の規制や基準への準拠を確保することは、責任共有モデルにおいては複雑になり得ます。なぜなら、コンプライアンスを維持するためには、双方が連携して取り組みを行う必要があるからです。

こうした課題があるものの、クラウドセキュリティにおける「責任共有モデル」のメリットはデメリットを上回っており、現代のクラウドコンピューティング環境において不可欠な要素となっています。

WithSecure™ Cloud Protection for Salesforceでクラウドのセキュリティを強化

Salesforceのクラウド環境を悪意のあるコンテンツから保護し、強固なセキュリティを確保するには、WithSecure™ Cloud Protection for Salesforceの導入をご検討ください。この包括的なソリューションは、クラウド向けの高度な脅威対策を提供し、以下の機能を備えています：

リアルタイム脅威検知：WithSecure™ Cloud Protection for Salesforceは、フィッシング攻撃やマルウェアなどの潜在的な脅威に対してクラウド環境を監視し、リアルタイムのアラートと保護を提供します。

コンプライアンス管理：WithSecure^TM Cloud Protection for Salesforceは、リアルタイムの脅威可視化に加え、脅威のハンティングおよび調査機能を提供することで、業界の規制や基準への準拠維持を支援します。

WithSecure^TM Cloud Protection for Salesforceの迅速な導入はわずか数分で完了するため、すぐにSalesforceクラウド環境のセキュリティを確保でき、ビジネスの成長と顧客へのサービス提供に集中することができます。