クラウドサービスはSaaS・PaaS・IaaSの3種類に分かれ、種類ごとに利用者と提供者のセキュリティ責任範囲が異なります。この責任範囲の分け方を「責任共有モデル」、境界線を「責任分界点」と呼び、クラウド導入時に必ず確認すべき重要な概念です。
- SaaS
Gmailなどブラウザ上で利用するソフトウェア提供型のサービスで、利用者の責任範囲はデータ管理やアカウント設定など最も限定的です。 - PaaS
Google App EngineやAzure App Serviceなどアプリケーション開発基盤を提供するサービスで、インフラとミドルウェアは提供者が管理し、利用者はアプリケーションとデータの管理を担います。 - IaaS
ネットワークやサーバーなどのインフラ環境を提供するサービスで、利用者の責任範囲が最も広く、OS・ミドルウェア・アプリケーションの管理まで求められます。
SaaS→PaaS→IaaSの順に利用者の責任範囲が広がるため、自社が利用するサービス形態に応じた対策範囲を責任共有モデルで明確にしておくことが不可欠です。
詳しい違いは、「クラウドサービスの種類と責任範囲の違い」を参照してください。
