クラウドへの移行: 組織における責任共有の意味

クラウドの力は無視できませんが、誰がクラウドのサイバーセキュリティを監視しているのでしょうか。この記事では、クラウド環境でお客様 (およびお客様の顧客) のデータを安全に保つための責任共有モデルについて簡単に紹介します。
クラウドへの移行: 組織における責任共有の意味

デジタルトランスフォーメーションのジャーニーを続ける企業にとって、多くの場合、クラウドへの移行は優先度の高い項目です。これは従来のテクノロジースタックやシステムは新しいテクノロジーと互換性がないことや、または全面的に不安定で拡張できず、脆弱性へのパッチ適用など重要な問題に対するセキュリティサポートないため単一障害点とみなされることがあるためです。パブリッククラウドやプライベートクラウドが提供する弾力性と、多くの安全なテクノロジーを活用することにより、クラウド移行のメリットは大きくなります。

しかし、多くの場合、移行には自社 (および顧客、ユーザー、市民) のクラウドのデータセキュリティに関する懸念が伴います。「お客様はクラウド内のセキュリティとコンプライアンスに責任を持ち、クラウドサービスプロバイダ (CSP) はクラウドセキュリティとコンプライアンスに責任を持つ」というような話を聞いたことがあるかもしれません。これは責任共有モデルと呼ばれます。では、これはどういう意味で、自社のクラウド環境にどのように適用される可能性があるのかという基本的な点について簡単に確認してみましょう。 

お客様の責任

お客様のクラウド内での責任は、組織が使用するサービスや製品に応じて決まります (サービスや製品によって責任は異なるため、この点は非常に重要です)。

たとえば、ある病院では特定の規制やコンプライアンスに関する要件があり、安全な状態を維持しながら拡張し、大量の更新に対応する必要があります。この場合、病院内部の要件に基づいて使用が認定されたサービスを選択するだけでなく、安全に拡張できるサービス、一括更新に対応するストレージ、ネットワークトラフィックのアクセス制御リストなども検討する必要があります。この簡単な例は、お客様が抱える特定の要件の性質によって、お客様が多くの責任を負う可能性があることを示しています。クラウドの総合的な導入戦略はお客様によって異なるため、お客様によっては、CSP 側が多くのセキュリティ制御を行います。これは Software-as-a-Service、Platform-as-a-Service、Infrastructure-as-a-Service など、組織が使用するクラウドサービスモデルによって異なります。

また、組織にとって、何が CSP から引き継がれ、何が共通の制御や責任になり得るかを理解しておくことは大切です。たとえば、Amazon Web Services を CSP として利用する場合、お客様はエッジロケーション、アベイラビリティゾーンの作成 (独立したロケーションやその中で動作するハードウェアを物理的に作成すること)、EKS コントロールプレーンを使用する場合の API サーバー、ネットワークなどには責任を負いません。

突きつめると、お客様が責任を負うのは自身のデータです。これには暗号化が含まれます。お客様はこの設定と完全性、ならびにデータアクセス、セキュリティ、管理に使用する認証と承認のメカニズムに対して責任を負います。

以下はすべての責任を網羅するものではありませんが、組織が移行とセキュリティの総合的な能力を評価するときに把握しておく必要がある検討事項です。

Salesforce の責任

Software-as-a-Service プロバイダは、API やミドルウェア、仮想化、ネットワークセキュリティなどに対し責任を負います。Salesforce が提供するアプリケーションの多くはインターネット経由で実行されることを理解しておくことは重要です。そのため、お客様のセキュリティとコンプライアンスを確保するという当社の目標を達成するには、Salesforce プラットフォームのセキュリティを確保し、お客様が使用中のアプリケーションが、エンドユーザーに安全性、弾力性、高可用性を提供できるようにメンテナンスおよび管理されていることが重要になります。つまり、クラウドのセキュリティは私たち全員の責任です。 

お客様の責任を特定するにあたり Salesforce が提供する支援

プログラムのアプローチ、セキュリティ、コンプライアンス、ガバナンスのヒントは、お客様の個々の Salesforce セキュリティモデルによって若干異なります。ただし、すべてのセキュリティモデルで共通している点もあります。安全なアーキテクチャ設計のベストプラクティス、複雑な問題や明確なビジネス要件に対するソリューションの協議や立案、アプリケーションやインテグレーション開発のベストプラクティスに関するガイダンスの提供など、Salesforce がお客様組織を支援するための取り組みはすべてのモデルで共通しています。 

これらはいずれも、お客様の成功に向けた Salesforce の取り組みの一部です。私たちは、社内の移行準備評価の実施、ビジネス要件やセキュリティ要件の分析、移行戦略・スケジュール・セキュリティの障害に関する助言など、お客様が基本的な要件に対応するための支援を提供します。 

こうした支援 (とその他の支援) を提供し、移行を成功させることができるという点で合意できたら、お客様の責任をさらに明確にします。Salesforce では、認証メカニズム、ユーザー権限、IP 許可リストなど、カスタマイズ可能なネイティブのセキュリティ制御機能を提供しています。また、ビジネスの運用に役立つ、すぐに使用可能な製品やコア機能を数多く提供しています。ここでのお客様の責任は、選択した各製品の共有責任の要件に対して組織が完全に備え、実行できるようにすることです。

Salesforce は、お客様、その関係者、他のクラウドサービスプロバイダと強固なパートナーシップと関係を築くことに取り組んでいます。そのため、クラウド移行のニーズに対するアプローチを常にお客様に適した方法で提供しています。Salesforce の信頼とセキュリティについて興味のある方は、Salesforce の無料学習・トレーニングプラットフォームである Trailhead の『Learn About the Shared Responsibility Model (責任共有モデルについて)』モジュールを参照してください。



おすすめの事例