ZDNet Japanでは「クラウドのセキュリティは誰の責任か」を探るべく、「セキュリティの所在を考える緊急アンケート」を実施した。この調査は「クラウド:7割のプロバイダーがセキュリティはユーザーの責任」という米国での調査を受けたものだ。
有効回答者数は157人。このうち、クラウドサービス利用者は129人(82.12%)で、クラウドサービス事業者は28人(17.83%)だった。
「クラウドのセキュリティは、誰が責任を持つべきと考えますか?」という設問には、全回答者の61.15%にあたる96人が「クラウド事業者」と回答。クラウド事業者自身も25人中の半数以上にあたる15人が「クラウド事業者」と回答している。
一方で、上記の設問に付随した「どのようなセキュリティを、誰が講じるのがベストと考えますか?」という設問に対する自由記述では、SLAのもとで事業者と利用者の責任の所在を明確にすることの重要性や、SaaS/PaaS/IaaSといったサービス形態による責任の所在の違いを指摘する声もあがっている。
利用者は、セキュリティをクラウド事業者まかせにするのではなく、利用者自身が利用するサービス形態に応じたセキュリティのサービスレベルを自社で設定し、料金等を考慮しながらサービスを選定することが重要と言えそうだ。
クラウド利用者からの回答
- クラウドサービス事業者によって、それなりのセキュリティレベルを担保すべき。そのほうが利用者は利用しやすい。
- クラウドのサービス形態によるが、クラウド側事業者が提供するSLAにおいて、セキュリティや事故想定を明確に打ち出すこと。どこからが顧客責任でどこからが事業者責任なのかをはっきりさせるべき。
- 有償でもいいので、事業者側でセキュリティサービスを設定し、利用者が選択できるようにすればよい。
- SaaSは事業者がセキュリティ対策を講じるべきと思うが、IaaSは構成を利用者が行うので利用者側がやるべき。
クラウド事業者からの回答
- 低価格競争をしていては、セキュリティは確保できないので、利用者が対価として判断するべきと思う。
- クラウドはお客様が何も気にせずにシステムが使えることだと考えているため、事業者が責任をもつべきだと思う。
- クラウドサービス事業者がセキュリティ専門業者にセキュリティの導入を依頼する一方、セキュリティレベルもSLAに盛り込む、またはオプションなどによるサービス価格を利用者へ提示すべき。
- 提供されるサービス(IaaS、PaaS等)によって責任分解点は異なると思う。
クラウドの導入でセキュリティは足かせになっている--73.89%
「重要性が高まっていると思うサービスは?」という設問(複数回答可)に関しては、84人(53.50%)の人がSaaSと回答。続いて、PaaSが58人(36.94%)、IaaSが53人(33.76%)と続き、業務アプリケーションのクラウド化を考えている企業が多いことがわかる。
「クラウドの導入や検討時、セキュリティの問題は足かせになっていると感じますか?」という設問では、「足かせになっている」46人(29.30%)、「どちらかと言うとなっている」70人(44.59%)と、合計116人(73.89%)がセキュリティに関する不安を抱いている結果となった。
「実際にクラウドの導入や検討時、セキュリティが問題になったことはありますか?」という設問で、「ある」「どちらかというとある」と回答した人に対して、自由記述でその具体例を回答してもらうと、「契約書にセキュリティに関するSLAや責任をベンダー側が明記してくれない」「業務上、個人データが主なデータとなるため、セキュリティ対策無しでは検討の土俵にすら上らない」など、クラウド事業者に対してサービスレベルを明確にすることや、情報漏えい等のセキュリティ対策を含めたサービス提供を期待するコメントが多く寄せられた。
また、「伝送路の安全に関する信頼性が確認できない。傍受解読されていても知る手段がない」「VPN接続が必須だが、使用中のVPN回線を利用できない」といったネットワーク上の問題や、社内のセキュリティポリシーと合致しないことを挙げる声があがった。