本アンケートは終了しました
ZDNet Japanでは、クラウド環境のセキュリティの所在を考えるアンケートを実施中だ。
このアンケートは、「クラウドのセキュリティは誰が責任を持つべきか?」「クラウドの導入や検討時、セキュリティが問題になったことはあるか?」「どのようなセキュリティを、誰が講じるのがベストか?」などを問うもの。アンケートは、7月中旬まで実施予定。回答者の中から抽選で5名にAmazonギフト券が当たる特典も展開中だ。
本稿では、6月末時点での回答を取りまとめた中間結果を報告したい。
設問1 クラウドのセキュリティは、誰が責任を持つべきと考えますか?
- クラウドサービス事業者:64.4%
- クラウドサービス利用者:21.9%
- どちらでもない:5.5%
- わからない:8.2%
設問2 実際にクラウドの導入や検討時、セキュリティが問題になったことはありますか?
- ある:32.9%
- どちらかと言えばある:30.1%
- ない:37.0%
設問2で「ある」「どちらかと言えばある」と回答した方からは、その具体的な内容として、以下のようなコメントが挙がった。(用字用語のみ一部編集)
- セキュリティが破れた時、調査をどう進めるか。
- 機密情報を国外におくことへの懸念。カントリーリスクや法的な問題。
- データ漏えいの問題からパブリック(クラウド)は使えない、という認識がIT部門にはある。
- 契約書にセキュリティに関するSLAや責任をベンダー側が明記していない。
さらに、「どのようなセキュリティを、誰が講じるのがベストと考えますか?」という設問に対する自由記述では、次のような回答が上がった(コメントは一部編集)。
- クラウド事業者が提供するSLAにおいて、セキュリティや事故想定を明確に打ち出すこと。どこからが顧客責任で、どこからが事業者責任なのかをはっきりさせるべき。
- 個人情報の漏えい、棄損、滅失を防ぐための複数の選択肢をクラウドベンダーは用意すべし。その中からどれを選択するのかはユーザーの責任でいい。
- アクセスログを事業者および利用者の管理者が管理、チェックすることが必要だと思う。
- 低価格競争をしていては、セキュリティは確保できないので、利用者が対価として判断するべきと思う。
このように、クラウドサービス事業者とユーザーの責任区分の明確化が必要と言う回答が多く挙がっている。