メインコンテンツへスキップ

リソース

ブログへ戻る 業界の視点

クラウドセキュリティの障害の責任は誰にあるのか? 答え:あなたが思っているよりも多くの人々です

Claire Hatcher - Skyhigh Security 英国 地域セールスディレクター

2023年11月30日 3 分で読めます

共有責任は、私たち全員が直感的に理解している概念ですが、多くの組織がクラウドのセキュリティに関して完全に理解していません。その説明となるフレームワークが比較的新しいか、あるいは期待が十分に明確にされていないかのどちらかでしょう。多くの組織は、残念ながら自身の役割と責任を完全に把握しておらず、その結果、セキュリティのギャップや侵害が発生しています。

ITプロフェッショナルの90%がサイバーセキュリティ侵害を経験していることを考えると、クラウドコンピューティングは、他のすべてのテクノロジーと同様に完璧ではありません。クラウドサービスプロバイダー(CSP)は高度なセキュリティツールとサービスを提供していますが、CSPが実際に何を保護しているのかについて、顧客側に明らかに誤解があります。おそらく、たとえ話が誰が何をするのかを明確にし、いくつかの誤解や混乱を解消するのに役立つでしょう。

適切な思考の枠組みがどのように災害を防ぐことができるか

オンラインマーケットプレイスでバケーションレンタル物件を借りる場合を考えてみましょう。オンラインマーケットプレイスは、取引を円滑に進めるための基盤インフラを提供します。あなたはプラットフォームを通じて物件の所有者と連絡を取ります。オンラインマーケットプレイスは、この取引を行うための安全なプラットフォームを提供する責任があります。所有者は物件そのものに責任があります。例えば、彼らはレンタルのドアや窓に鍵を取り付けることが期待されており、あなたは鍵を使用する責任があります。特に、提供された仕組み(この場合は鍵)を使用して物件や持ち物を保護しない場合、滞在中に強盗に遭わないことをオンラインマーケットプレイスに期待することはできません。
別のたとえ話として、金物店で工具を購入またはレンタルする場合を挙げます。工具が壊れたり、機能しなかったりした場合、販売業者にはある程度の責任があるかもしれませんが、目を保護し、安全な作業環境を確保し、工具を責任を持って使用するのは常にあなた次第です。

組織は、使用するクラウドサービスプラットフォームに関しても、状況はそれほど変わらないことを理解する必要があります。CSPはすべてのセキュリティ侵害に対して責任を負うわけではありません。顧客は重要な役割を担い、自身のパブリッククラウド環境を保護する責任を共有しています。

共有責任モデルの登場

CSPは、セキュリティに関する自身の責任を明確に定義しています。Amazon Web Services (AWS)Microsoft Azureは、それぞれ誰が何に責任を負うかを明確にするためのクラウドセキュリティ共有責任モデルを公開しています。モデルがSaaS、IaaS、PaaSのいずれであるかによって詳細は異なりますが、一般的に企業顧客はクラウドセキュリティの以下の側面について責任を負います。

  • エンドポイントセキュリティ
  • ネットワークセキュリティ
  • 設定
  • アイデンティティおよびアクセス管理 (IAM)
  • データ分類と説明責任
  • データコラボレーション制御
  • 仮想マシン
  • ワークロードとコンテナのセキュリティ

一方、クラウドサービスプロバイダーは以下の責任を負います。

  • 電源やインターネット接続を含む、自社施設の物理的なセキュリティとメンテナンス
  • サーバー、オペレーティングシステム、パッチ適用、ロードバランシング、スケーリング、ストレージ、プラットフォームサービスの設定を含むコンピューティングホストインフラストラクチャ
  • ネットワーク制御とプロバイダーサービス

休暇用レンタル物件のドアや窓の鍵の例に戻ると、CSPはサービスに様々なセキュリティ防御機能を組み込んでいますが、顧客自身のネットワーク、ユーザー、重要なデータ、アプリケーションを保護するためにそれらを実装するのは顧客次第です。

いずれのクラウドサービスの顧客としても、自身の役割と責任を完全に理解するためには、サービスレベル契約 (SLA) を注意深く確認することが重要です。憶測で判断してはいけません。SLAは、セキュリティのどの側面について責任を負うのか、またプラットフォームのメリットを最大限に活用するために、最初にどのような機能とポリシーを適切に設定する必要があるのかを明確にします。複雑なマルチクラウドの世界では、これは管理上の観点から見ると困難な場合がありますが、クラウド内のデータが安全であることを確実にするために、事前に責任を果たすことは、費やす時間と労力に見合う価値が十分にあります。

クラウドセキュリティはチームスポーツであり、それぞれが役割を果たす必要があります。共有責任モデルは、ゲームのルールを理解するのに役立つフレームワークを提供します。

Skyhigh Securityがお客様の責任を果たすお手伝いをし、パブリッククラウドプラットフォーム上のデータを保護する方法については、当社のウェブサイトをご覧ください。

ブログへ戻る

関連コンテンツ

ブログのサムネイル
業界の視点

A Different Approach: Why the Answer to Browser Security Is Not a New Browser
ブログのサムネイル
業界の視点

Skyhigh Security 、2026年におけるIRAP評価を「PROTECTED」レベルでSkyhigh Security
ブログのサムネイル
業界の視点

企業がもはや無視できないブラウザのセキュリティ上の課題

トレンドブログ

業界の視点

A Different Approach: Why the Answer to Browser Security Is Not a New Browser

Sarang Warudkar June 17, 2026

業界の視点

Skyhigh Security 、2026年におけるIRAP評価を「PROTECTED」レベルでSkyhigh Security

サラン・ワルドカー、スチュアート・ベイリス 2026年5月21日

業界の視点

企業がもはや無視できないブラウザのセキュリティ上の課題

サラン・ワルドカル 2026年5月19日

業界の視点

現代企業の分断化への対応:データホスティングのジレンマ

ステ・ナディン 2026年5月14日

業界の視点

Skyhigh Security 、SSEクラウドプラットフォーム全体でSOC 2 Type II準拠Skyhigh Security

サラン・ワルドカー、スチュアート・ベイリス 2026年4月30日