sg sg-security-management risk_assessment vendor_management
まず結論
責任共有モデルとは、クラウドサービスの利用者とクラウド事業者が、情報セキュリティ上の責任範囲を分担して管理する考え方です。
SG試験では、「クラウドを使えば、セキュリティ責任をすべて事業者に任せられる」わけではないという点を判断させる問題として出やすいです。
選択肢では、次のように考えると切り分けやすくなります。
| 見るポイント | 判断の方向 |
|---|---|
| クラウド事業者の責任 | 基盤、設備、サービス提供側の管理 |
| クラウド利用者の責任 | データ、ID、アクセス権限、設定、利用方法の管理 |
| 注意する表現 | すべて事業者が責任を負う |
| 試験での判断軸 | 誰が管理できる範囲か |
直感的な説明
責任共有モデルは、賃貸マンションに近い考え方です。
建物そのものの管理は、大家さんや管理会社の責任です。
たとえば、建物の構造、共用設備、外壁、エレベーターなどです。
一方で、部屋の鍵を閉める、貴重品を管理する、知らない人を入れないといったことは、入居者側の責任です。
クラウドサービスも同じです。
クラウド事業者は、データセンターや基盤サービスを安全に運用します。
しかし、利用者が弱いパスワードを使ったり、アクセス権限を広く設定しすぎたり、重要データを不用意に保存したりすれば、情報漏えいにつながります。
つまり、クラウドでは「事業者が守る部分」と「利用者が守る部分」を分けて考える必要があります。
定義・仕組み
責任共有モデルは、クラウドサービスのセキュリティについて、クラウド事業者とクラウド利用者がそれぞれ責任を持つ範囲を明確にする考え方です。
IPAの資料でも、クラウドサービスを活用する場合には責任共有モデルの理解が重要であり、利用者とクラウド事業者が責任分界点を定め、運用責任を共有する考え方として説明されています。
参考:IPA「クラウドセキュリティ 〜設定ミスとの付き合い方〜」
責任範囲は、利用するクラウドサービスの種類によって変わります。
| 種類 | 利用者の責任が大きいか | イメージ |
|---|---|---|
| IaaS | 大きい | サーバ、OS、設定を利用者が多く管理する |
| PaaS | 中くらい | アプリ開発やデータ管理が中心になる |
| SaaS | 比較的小さい | アプリは事業者提供、利用設定やデータ管理が中心 |
ただし、SaaSだから利用者の責任がゼロになるわけではありません。
たとえば、SaaSでも次のようなことは利用者側の責任になります。
- 利用者アカウントの管理
- パスワードや多要素認証の設定
- アクセス権限の設定
- 退職者アカウントの削除
- 保存する情報の管理
- 利用規約や契約内容の確認
SG試験では、「責任範囲はサービス形態によって変わるが、利用者の責任は必ず残る」と押さえると選択肢を切りやすくなります。
どんな場面で使う?
責任共有モデルは、クラウドサービスを選定・導入・運用するときに使います。
特に、次のような場面で重要です。
- クラウドサービスを新しく導入する
- 顧客情報や個人情報をクラウドに保存する
- 委託先としてクラウド事業者を評価する
- アクセス権限やアカウント管理を見直す
- インシデント発生時の対応範囲を確認する
たとえば、クラウドストレージを使う場合を考えます。
サービス基盤の可用性や物理的なデータセンター管理は、クラウド事業者側の責任です。
しかし、共有リンクを誰でも見られる設定にしたり、退職者のアカウントを残したりした場合は、利用者側の管理不備になります。
SG試験では、責任共有モデルを委託先管理、リスクアセスメント、アクセス管理と結びつけて問われることがあります。
選択肢では、次のように判断します。
| 選択肢の内容 | 判断 |
|---|---|
| 利用者と事業者の責任範囲を明確にする | 正しい方向 |
| サービス形態に応じて責任範囲が変わる | 正しい方向 |
| クラウド利用者は設定やデータ管理の責任を持つ | 正しい方向 |
| クラウド利用時の責任はすべて事業者が負う | 誤り |
| SaaSなら利用者側のセキュリティ管理は不要 | 誤り |
よくある誤解・混同
誤解1:クラウドなら事業者が全部守ってくれる
これは誤りです。
クラウド事業者は、サービス基盤や設備など、提供側の責任範囲を管理します。
しかし、利用者のアカウント管理、アクセス権限、データの扱い、設定ミスへの対策は、利用者側の責任です。
SG試験で「クラウド事業者に一任する」と書かれていたら注意します。
誤解2:SaaSなら利用者の責任はない
これも誤りです。
SaaSは、IaaSよりも利用者が管理する技術範囲は少なくなります。
しかし、利用者登録、権限設定、データ入力、利用者教育、契約確認などは利用者側に残ります。
「SaaS=責任なし」ではなく、SaaS=責任範囲が小さくなるが、ゼロではないと考えます。
誤解3:責任共有モデルは障害対応だけの考え方
責任共有モデルは、障害時だけでなく、日常のセキュリティ運用にも関係します。
たとえば、アカウント管理、ログ確認、権限見直し、情報資産の分類、委託先確認などです。
SG試験では、日常運用の文脈で問われることもあります。
誤解4:責任範囲はどのクラウドでも同じ
責任範囲は、IaaS、PaaS、SaaS などのサービス形態によって変わります。
IaaSでは利用者がOSやミドルウェアの設定まで管理することが多く、SaaSではアプリケーション本体の管理は事業者側に寄ります。
ただし、どの形態でも、利用者が自社の情報をどう扱うかという責任は残ります。
まとめ(試験直前用)
- 責任共有モデルは、クラウド事業者と利用者の責任範囲を分ける考え方
- クラウドを使っても、利用者側の責任はなくならない
- IaaS、PaaS、SaaSで利用者の責任範囲は変わる
- アカウント、権限、データ、設定は利用者側の重要な管理対象
- SG試験では「すべて事業者に任せる」という選択肢を疑う
🔗 関連記事
- アクセス権限管理とは?付与・変更・削除の流れを整理【SG試験】
- 管理者権限とは?特権的アクセス権との違いを整理【SG試験】
- 情報資産台帳とは?リスク管理の出発点を整理【SG試験】
- 監査ログとは?不正検知と追跡の基本【SG試験】
- 監査調書とは?監査結果の裏付けになる記録を整理【SG試験】