【問295】個人情報保護士 練習問題|クラウドサービスの責任分界
情報セキュリティ 問115/120難易度B(標準)
問題文
クラウドサービスにおける責任共有モデル(Shared Responsibility Model)に関する次の記述のうち、最も適切なものはどれか。
- 1.IaaS利用時は、OS・ミドルウェア・アプリケーションのセキュリティは全てクラウド事業者が責任を負う
- 2.SaaS利用時は、利用者側のアクセス管理やデータの取扱いに関する責任はなくなる
- 3.IaaSではインフラ部分をクラウド事業者が、OS以上のセキュリティを利用者が責任を持つのが一般的である
- 4.責任共有モデルは法的な規定であり、全てのクラウド事業者が同一の基準で運用している
解説
正解
正解は選択肢3です。
各選択肢の解説
選択肢1 → ❌誤り
IaaS(Infrastructure as a Service)では、クラウド事業者はハードウェアやネットワークなどのインフラ部分のセキュリティを担当します。OS・ミドルウェア・アプリケーションのセキュリティは利用者が責任を負います。
選択肢2 → ❌誤り
SaaS利用時でも、利用者は自社のアクセス管理(ユーザID・パスワード管理、アクセス権限の設定)やデータの適切な取扱い(保管・削除等)について責任を負います。
選択肢3 → ✅正解
IaaSでは、物理インフラ(サーバ、ネットワーク、データセンター)はクラウド事業者が、OS・ミドルウェア・アプリケーション・データのセキュリティは利用者が責任を持つのが一般的な責任分界です。
選択肢4 → ❌誤り
責任共有モデルは法的な規定ではなく、クラウド事業者が定めるサービス利用上の考え方です。事業者やサービスにより責任の範囲は異なります。
背景知識
責任共有モデルは、クラウドサービスの利用において「何を事業者が、何を利用者が責任を持つか」を明確にする考え方です。一般にIaaS→PaaS→SaaSの順に利用者の管理範囲は狭くなりますが、データの取扱いやアクセス管理の責任は常に利用者に残ります。個人データをクラウドで取り扱う場合、この責任分界を理解した上で適切な安全管理措置を講じることが求められます。クラウド事業者のSLAやセキュリティホワイトペーパーの確認が重要です。
学習アドバイス
IaaS・PaaS・SaaSそれぞれの責任分界を図で整理しましょう。「SaaSでもアクセス管理とデータ管理は利用者の責任」という点は特に重要です。
まとめ
- IaaSではインフラは事業者、OS以上は利用者が責任を持つ
- SaaSでもアクセス管理やデータの取扱いは利用者の責任
- 責任分界は事業者・サービスにより異なるため確認が必要