クラウドコンピューティングにおける共有責任モデルとは？

共有責任モデルは、クラウドサービスプロバイダーとクライアントの権利と責任を明確にすることで、セキュリティ上の義務を概説しています。本質的に、クラウド環境を効果的に保護するために、セキュリティの各側面の責任者が明確にされています。この区分に関する詳細は、サービスモデル（SaaS、PaaS、IaaS）によって若干異なります。

3 つのモデルの違いは次のとおりです。

• SaaS (SaaS): プロバイダーは基盤となるインフラストラクチャ、アプリケーション、データを処理し、顧客はユーザーアクセスとデータ分類を担当します。
• PaaS (プラットフォームとしてのサービス): プロバイダーは、Webサービス、オペレーティングシステムなどを含むサポートシステムの責任を負い、顧客はすべてのアプリケーションとデータの責任を負います。
• IaaS (インフラストラクチャとしてのサービス): プロバイダーは物理レイヤーを制御し、顧客はアプリケーション、オペレーティングシステム、データを制御します。

SaaSプロバイダーの具体的な責任は次のとおりです。

• 物理的セキュリティ: データセンターとハードウェアを保護します。
• ネットワークセキュリティ： 不正アクセスやサイバー攻撃による脅威に対する保護。
• アプリケーションセキュリティ： セキュリティの脆弱性やバグを修正して侵害を防ぐためのソフトウェアの更新
• データセキュリティ: データの保存時と送信時の両方を暗号化し、バックアップまたは災害復旧があることを確認します。
• 運用セキュリティ: 脅威を検出し、セキュリティの発生に対応します。

SaaS の顧客は以下を考慮する必要があります。

• デバイスのセキュリティ: SaaS アプリケーションにアクセスするために使用されているデバイスを保護します。
• アクセス管理: ユーザーの適切な制限とアプリケーションへのアクセス権、身元を確認するための手順、およびアプリケーションへのアクセスを許可するための管理を行います。
• セキュリティ意識向上トレーニング： 従業員に対するセキュリティ対策とフィッシングリスクに関するトレーニング。
• データ分類： 機密データを特定し、保護するための対策を講じる。
• インシデント対応： セキュリティの脅威に対処する方法に関する緊急計画を策定します。

組織と SaaS プロバイダーおよびサプライヤーは、次のことを行う必要があります。

1. SaaS プロバイダーの セキュリティドキュメントと認定: セキュリティ対策について学び、組織の基準を満たしていることを確認します。
2. 明確なコミュニケーションチャネルを確立します。 SaaSプロバイダーと明確にコミュニケーションを取り、セキュリティ上の懸念事項について話し合い、問題を報告し、セキュリティの変更について最新情報を入手します。
3. セキュリティ意識向上プログラムに参加します。 SaaSプロバイダーが提供するセキュリティトレーニングを従業員に受けるよう奨励します。
4. 共同セキュリティ評価を実施します。 共有環境におけるリスクを特定して軽減するために協力します。
5. サービスレベル契約（SLA）を確立します。 両当事者が署名した契約書にセキュリティ要件と義務を確立します。