II. ユーザーによるポリシーの受け止め方の違い
ユーザーがクラウドのリスク管理の恩恵をどう受け止めるかは、以下の要素に左右される。
- ユーザーがクラウドで果たす役割
- ユーザーが働く組織の種類
- クラウドサービスプロバイダーから与えられている管理権限
SaaSユーザーの受け止め方
どんな組織であっても、SaaSユーザーが持つ唯一の管理権限は、自分が選んだデバイスからSaaSアプリケーションへアクセスすることだ。そのアプリケーションで行うのが経理でも、人事でも、サプライチェーンの追跡でも関係ない。このユーザーには、アプリケーション開発や仮想マシンの管理権限はない。
SaaSユーザーは、サービスプロバイダーのクラウドリスク管理ポリシーは限定的だと受け止める可能性が高い。それは、SaaSユーザーが自分のセキュリティツールを使ってSaaSアプリケーションの脆弱性を調べることを、プロバイダーが認めないからだ。
PaaS開発者の受け止め方
PaaS開発者は、自分の好きなどんなセキュリティツールでも使うことができる。従って、彼らはプロバイダーのリスク管理ポリシーを柔軟なものとして受け止める。PaaS開発者は、コンセプトから展開まで、アプリケーションのライフサイクル全体を管理しており、自らの安全策をテストするためのセキュリティツールを構築することができる。どんな安全策でも、ハッカーにとって乗り越えるのが難しい障壁となっていれば、SaaSユーザーは満足するだろう。
PaaS開発者には、OSのアップデートや、PaaSプラットフォームをサポートする仮想マシンの管理権限はない。開発者は、クラウドサービスプロバイダーがOSや仮想マシン向けの安全策を講じさせないことに落胆する可能性が高い。
IaaSネットワーク専門家の受け止め方
IaaSネットワーク専門家は、仮想インフラストラクチャ上で、独自のセキュリティツールを使用することができる。サービスプロバイダーのクラウドリスク管理ポリシーを、非常に柔軟性が高いものと受け止めるだろう。
IaaSネットワーク専門家は、仮想マシンで予定外のダウンタイムが発生することを防ぐのに必要なツールの管理権限を持っている。サービスプロバイダーが自分たちに、物理的サーバやネットワークといったプロバイダーのインフラストラクチャを管理させないことを理解している。
III. まとめ
クラウド関連のセキュリティ問題を低減、あるいは解決するための最善策は、さまざまな人がこのポリシーを利用することと、それぞれのユーザーがリスク管理の仕方にどう反応するかを考慮することだ。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
