クラウド活用が順調に広まってきていますが、IaaS、PaaS、SaaS等いろいろな種類のクラウドサービスがあり、各サービスで提供者と利用者の役割分担や責任分界点が変わってきます。
この資料ではオンプレも含めたクラウドサービスは下記の通り。
ちなみに一番上が最も利用者の役割分担と責任分担と自由度が小さい形態。
逆に下に行くほど利用者の役割分担と責任分担と自由度が大きい形態。
・モール(楽天市場とかAmazonとか)
・ASP、SaaS(Salesforce、Gsuite、Office365とか)
・PaaS、レンタルサーバ(AwS、Azure、Zenlogicとか)
・IaaS
・ハウジング
・オンプレミス
んで、なかなかよくまとめられていると感じたのが下記の図
クラウド移行後も利用者の責任となる部分がきれいに整理されています。
個人的には業務セキュリティ対策の中にアカウント管理も入れておいてほしかったかな。
クラウドが日本よりも進んでいる海外ではクラウド環境ゆえのインシデントが起きています。
まずSaaS。Office365やGsuiteに移行したのはいいが、利用者側の特権アカウントの管理がずさんで、乗っ取られてしまい、全ユーザーのメール情報が漏洩してしまう事件が起きています。特権アカウントの管理は結構ずさんになりがちですが、定期的なパスワード変更や二要素認証などを導入して管理強化を図る必要があります。
次にPaaS。これまでオンプレであった場合、インターネットとの間にF/Wを設置するので、サーバ担当がオペミスしてもF/Wで何とかなっていましたが、PaaSになるとF/Wもサーバもマウス操作で簡単に変更できてしまいます。そのため、例えばAwSのS3で設定ミスって内部情報をインターネットに向けて公開してましたって事件が起きています。
直近ではホンダのインド法人Honda Cars Indiaで、AwSのS3の設定ミスって5万人分の個人情報をインターネットに向けて公開しちゃってた事件があります。
クラウドが普及して一見ITの知識は不要になるように見えても、ITの知識とリテラシーを備えた人材はユーザー企業でも確保しておく必要があります。
【関連資料】
ウェブサイト開設等における運営形態の選定方法に関する手引き(IPA)
ホンダの海外法人が5万人分を超える顧客情報をクラウド上で公開していた
Honda leaked personal information from its Honda Connect App
Honda India Left Details of 50,000 Customers Exposed on an AWS S3 Server