事業者か利用者か--クラウドのセキュリティ、責任はどちらが負うか

真野祐樹 2011年07月14日 20時51分

  • このエントリーをはてなブックマークに追加

 ZDNet Japanでは「クラウドのセキュリティは誰の責任か」を探るべく、「セキュリティの所在を考える緊急アンケート」を実施した。この調査は「クラウド:7割のプロバイダーがセキュリティはユーザーの責任」という米国での調査を受けたものだ。

 有効回答者数は157人。このうち、クラウドサービス利用者は129人(82.12%)で、クラウドサービス事業者は28人(17.83%)だった。

 「クラウドのセキュリティは、誰が責任を持つべきと考えますか?」という設問には、全回答者の61.15%にあたる96人が「クラウド事業者」と回答。クラウド事業者自身も25人中の半数以上にあたる15人が「クラウド事業者」と回答している。

クラウドのセキュリティは、誰が責任を持つべきと考えますか?※クリックで拡大画像を表示 クラウドのセキュリティは、誰が責任を持つべきと考えますか?※クリックで拡大画像を表示

 一方で、上記の設問に付随した「どのようなセキュリティを、誰が講じるのがベストと考えますか?」という設問に対する自由記述では、SLAのもとで事業者と利用者の責任の所在を明確にすることの重要性や、SaaS/PaaS/IaaSといったサービス形態による責任の所在の違いを指摘する声もあがっている。

 利用者は、セキュリティをクラウド事業者まかせにするのではなく、利用者自身が利用するサービス形態に応じたセキュリティのサービスレベルを自社で設定し、料金等を考慮しながらサービスを選定することが重要と言えそうだ。

クラウド利用者からの回答

  • クラウドサービス事業者によって、それなりのセキュリティレベルを担保すべき。そのほうが利用者は利用しやすい。
  • クラウドのサービス形態によるが、クラウド側事業者が提供するSLAにおいて、セキュリティや事故想定を明確に打ち出すこと。どこからが顧客責任でどこからが事業者責任なのかをはっきりさせるべき。
  • 有償でもいいので、事業者側でセキュリティサービスを設定し、利用者が選択できるようにすればよい。
  • SaaSは事業者がセキュリティ対策を講じるべきと思うが、IaaSは構成を利用者が行うので利用者側がやるべき。

クラウド事業者からの回答

  • 低価格競争をしていては、セキュリティは確保できないので、利用者が対価として判断するべきと思う。
  • クラウドはお客様が何も気にせずにシステムが使えることだと考えているため、事業者が責任をもつべきだと思う。
  • クラウドサービス事業者がセキュリティ専門業者にセキュリティの導入を依頼する一方、セキュリティレベルもSLAに盛り込む、またはオプションなどによるサービス価格を利用者へ提示すべき。
  • 提供されるサービス(IaaS、PaaS等)によって責任分解点は異なると思う。

クラウドの導入でセキュリティは足かせになっている--73.89%

 「重要性が高まっていると思うサービスは?」という設問(複数回答可)に関しては、84人(53.50%)の人がSaaSと回答。続いて、PaaSが58人(36.94%)、IaaSが53人(33.76%)と続き、業務アプリケーションのクラウド化を考えている企業が多いことがわかる。

重要性が高まっていると思うサービスは?(複数回答)※クリックで拡大画像を表示 重要性が高まっていると思うサービスは?(複数回答)※クリックで拡大画像を表示

 「クラウドの導入や検討時、セキュリティの問題は足かせになっていると感じますか?」という設問では、「足かせになっている」46人(29.30%)、「どちらかと言うとなっている」70人(44.59%)と、合計116人(73.89%)がセキュリティに関する不安を抱いている結果となった。

クラウドの導入や検討時、セキュリティの問題は足かせになっていると感じますか?※クリックで拡大画像を表示 クラウドの導入や検討時、セキュリティの問題は足かせになっていると感じますか?※クリックで拡大画像を表示

 「実際にクラウドの導入や検討時、セキュリティが問題になったことはありますか?」という設問で、「ある」「どちらかというとある」と回答した人に対して、自由記述でその具体例を回答してもらうと、「契約書にセキュリティに関するSLAや責任をベンダー側が明記してくれない」「業務上、個人データが主なデータとなるため、セキュリティ対策無しでは検討の土俵にすら上らない」など、クラウド事業者に対してサービスレベルを明確にすることや、情報漏えい等のセキュリティ対策を含めたサービス提供を期待するコメントが多く寄せられた。

 また、「伝送路の安全に関する信頼性が確認できない。傍受解読されていても知る手段がない」「VPN接続が必須だが、使用中のVPN回線を利用できない」といったネットワーク上の問題や、社内のセキュリティポリシーと合致しないことを挙げる声があがった。

実際にクラウドの導入や検討時、セキュリティが問題になったことはありますか?※クリックで拡大画像を表示 実際にクラウドの導入や検討時、セキュリティが問題になったことはありますか?※クリックで拡大画像を表示

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]