マネジメント系

クラウドのセキュリティ管理 — 責任共有モデルを理解する

導入

クラウドを使えばセキュリティはすべてサービス会社任せ――そう思っていませんか。実はクラウドにはユーザーとサービス会社が責任を分担する独特の考え方があり、これを理解していないと大きなリスクにつながります。

なぜ重要か

クラウドサービスの利用が広まるにつれ、ITパスポート試験でもクラウドセキュリティに関する出題が増えています。責任共有モデル・IAM(アクセス管理)・ゼロトラストの3テーマはいずれも頻出であり、「SaaSでユーザーが管理すべき範囲はどれか」「ゼロトラストの考え方として正しいものはどれか」という形式で問われます。実務的にも、テレワークや外部サービス連携が一般化した現在、クラウドのセキュリティ責任を正しく認識していないことが情報漏えいや不正アクセスにつながる事例が後を絶ちません。この単元の知識は、日常のサービス利用から企業のシステム選定まで幅広く役立てることができます。

くわしく知ろう

クラウドセキュリティの基本となるのが「責任共有モデル」です。これはクラウドサービスのセキュリティ責任を、プロバイダ(サービス提供者)とユーザーが分担して担うという考え方を指します。

サービス形態によって責任の範囲は変わります。IaaSではサーバやネットワークなどのインフラはプロバイダが管理しますが、OS・ミドルウェア・アプリケーションはユーザーが管理する必要があります。PaaSではOSやミドルウェアまでプロバイダが担当し、ユーザーはアプリケーションとデータのみを管理します。SaaSはアプリケーションまでプロバイダが提供するため、ユーザーの管理範囲はデータとアクセス権の設定にとどまります。

次に重要なのがIAM(Identity and Access Management:アクセス管理)です。「誰が・どのリソースに・どんな操作をできるか」を細かく制御する仕組みで、必要最小限の権限のみを与える「最小権限の原則」が重要になっています。

ゼロトラストは「社内ネットワークにいるから安全」という前提を捨て、社内外のすべてのアクセスを常に検証・認証する考え方です。テレワークの普及とともに注目度が高まっています。

具体例で理解する

たとえばGmailのようなSaaSでは、サーバの管理はGoogleが担当しますが、パスワードの設定や2段階認証の有効化はユーザーの責任です。一方、自社でAWSにサーバを立てるIaaSでは、OSのパッチ当てやアクセス権設定もユーザー自身が行う必要があります。

試験での出題パターン

【パターン1:IaaS/PaaS/SaaSにおける責任範囲を問う問題】

「SaaSを利用している場合、ユーザーが管理責任を負う範囲として適切なものはどれか」という形式で、サービス形態ごとのユーザーの管理範囲を問います。IaaSはOS以上、PaaSはアプリケーション以上、SaaSはデータとアクセス権のみ、という段階的な構造として覚えておくと正確に解答できます。「IaaSではOSのセキュリティパッチ適用はプロバイダが行う(×)」のような誤り選択肢も登場します。

【パターン2:ゼロトラストとIAMの定義を問う問題】

「ゼロトラストの考え方として最も適切なものはどれか」という形式で、社内外すべてのアクセスを検証するという特徴を選ばせます。「社内ネットワーク内は信頼できるので認証不要(×)」という従来の境界型セキュリティの考え方との対比を意識しておくことが大切です。IAMについては「最小権限の原則」とセットで、「誰が・何に・どんな操作ができるか」を管理する仕組みとして理解しておきましょう。

よくある間違い・紛らわしいポイント

【「SaaSはすべてプロバイダ責任」という誤解】

SaaSではアプリケーションやサーバのセキュリティはプロバイダが担当しますが、データの管理責任とアクセス権の設定はユーザーが持ちます。「SaaSを使っていれば情報漏えいの責任もすべてプロバイダにある」と考えるのは誤りです。不適切なアクセス権設定による情報流出はユーザー側の責任になる点を確認しておきましょう。

【ゼロトラストを「全員を疑う」と誤解する】

「ゼロトラスト=誰も信用しない」ではなく、「場所を問わずすべてのアクセスを都度検証・認証する」という継続的な確認プロセスを指します。認証済みのユーザーでも、アクセスのたびに権限を確認するという考え方です。「ゼロトラストではVPNを使えば安全(×)」のような選択肢は誤りであり、場所にかかわらず検証を行う点が本質です。

【IAMとファイアウォールの役割の混同】

ファイアウォールはネットワークの境界で通信を制御するセキュリティ装置です。IAMは「誰が・どのリソースに・どんな操作ができるか」を管理するアクセス制御の仕組みです。ファイアウォールが「どこから来た通信か」を判断するのに対し、IAMは「誰が操作しているか」を判断する、という切り口で区別できます。

まとめ・試験ポイント

  • 責任共有モデル=セキュリティ責任をプロバイダとユーザーで分担する考え方
  • IaaS→PaaS→SaaSの順でユーザーの管理範囲が小さくなる(SaaSでもデータ・アクセス権はユーザー責任)
  • IAM=誰が何にどんな操作ができるかを管理する仕組み
  • 最小権限の原則=必要最小限の権限のみを付与する
  • ゼロトラスト=社内外を問わずすべてのアクセスを都度検証する考え方(「場所」ではなく「アクセス」を信頼の基準にする)
  • 試験では責任共有モデルとIaaS/PaaS/SaaSの責任範囲の違いが頻出

学習した内容を試験形式で確認しよう。ITパスポート入門試験100問に挑戦できます。

入門試験100問に挑戦する