共同責任モデルについて説明する
オンプレミスのハードウェアとソフトウェアのみが実行されている組織では、セキュリティとコンプライアンスの実装に関して組織が 100% の責任を負います。 クラウドベースのサービスでは、その責任は顧客とクラウド プロバイダー間で共有されます。
共有責任モデルは、クラウド プロバイダーで処理されるセキュリティ タスクと、顧客が処理するセキュリティタスクが特定されます。 責任は、ワークロードがホストされている場所によって異なります。
- サービスとしてのソフトウェア (SaaS)
- サービスとしてのプラットフォーム (PaaS)
- サービスとしてのインフラストラクチャ (IaaS)
- オンプレミスのデータセンター
共有責任モデルによって責任が明確になります。 組織がクラウドに移動すると、一部の責任がクラウド プロバイダーに移され、一部が顧客組織に移されます。
次の図は、データが保持される場所に応じて、顧客とクラウド プロバイダー間の責任範囲を示しています。
オンプレミスのデータセンター。 オンプレミスのデータセンターでは、ユーザーが物理的なセキュリティから機密データの暗号化までのすべての責任を持ちます。
サービスとしてのインフラストラクチャ (IaaS)。 すべてのクラウド サービスのうち、IaaS ではクラウドの顧客がほとんどの管理を行う必要があります。 IaaS では、クラウド プロバイダーのコンピューティング インフラストラクチャが使用されています。 クラウドのお客様は、コンピューターなどの物理的なコンポーネント、ネットワーク、またはデータセンターの物理的なセキュリティについては、責任を負いません。 ただし、オペレーティング システム、ネットワーク制御、アプリケーション、データの保護など、そのコンピューティング インフラストラクチャ上で実行されているソフトウェア コンポーネントについては、引き続きクラウドの顧客が責任を負います。
サービスとしてのプラットフォーム (PaaS)。 PaaS では、ソフトウェア アプリケーションをビルド、テスト、デプロイするための環境が提供されます。 PaaS の目的は、基になるインフラストラクチャの管理を行わずとも、できるだけ速やかにアプリケーションを作成できるよう支援することです。 PaaS では、クラウド プロバイダーがハードウェアとオペレーティング システムを管理し、顧客はアプリケーションとデータの責任を持ちます。
サービスとしてのソフトウェア (SaaS)。 SaaS は、顧客のクラウド プロバイダーでホストされ、管理されます。 通常は、月間または年間のサブスクリプションでライセンスが付与されます。 Microsoft 365、Skype、および Dynamics CRM Online はすべて、SaaS ソフトウェアの例です。 SaaS では、クラウドの顧客による管理の量が最小限に抑えられます。 クラウド プロバイダーは、データ、デバイス、アカウント、ID を除くすべてを管理する責任を負います。
すべてのクラウド展開の種類で、クラウドの顧客がユーザーのデータと ID を所有します。 顧客のデータと ID、オンプレミス リソース (モバイル デバイス、PC、プリンターなど) のセキュリティを保護する責任は顧客にあります。
要約すると、顧客の組織は常に次の責任を負います。
- 情報とデータ
- デバイス (モバイルおよび PC)
- アカウントと ID
共有責任モデルの利点は、組織が組織の責任とクラウド プロバイダーの責任が明確になることです。