前回の記事
-
.png)
-
🏢 Phase2:組織と管理(Day10)|委託先管理の落とし穴と契約上の注意点|📘 30日間連続講座|情報セキュリティマネジメント合格ロードマップ
2026/2/28
前回の記事 1. リスクは“外に出すと増える” 業務委託、クラウド利用、外部ベンダー。 便利です。しかし同時に、 管理対象が社外に広がる という意味を持ちます。 情報を渡した瞬間、その管理責任は完全に ...
1. クラウドは「任せれば安全」ではない
クラウド事業者は高度なセキュリティ対策を実施しています。
しかし、
だからといって、すべて任せてよいわけではない。
ここを理解していないと、事故は起きます。
試験でも頻出なのが、
「共有責任モデル」です。
2. 共有責任モデルとは何か?
共有責任モデルとは、
クラウド事業者と利用者が
責任を分担する考え方。
簡単に言えば、
- 事業者が守る領域
- 利用者が守る領域
が分かれているということ。
3. まずは構造を図で理解する
クラウドの構造は層になっています。
下から順に:
物理設備
ネットワーク
仮想化基盤
OS
ミドルウェア
アプリケーション
データ
このうち、
下の層ほど事業者責任、
上の層ほど利用者責任。
これが基本イメージです。
4. IaaS・PaaS・SaaSで責任範囲は変わる
ここが試験の狙いどころ。
IaaS(Infrastructure as a Service)
事業者:
- 物理設備
- 仮想化基盤
利用者:
- OS設定
- アプリ
- データ
- アクセス管理
👉 利用者の責任が広い。
PaaS(Platform as a Service)
事業者:
- OSまで管理
利用者:
- アプリ
- データ
👉 IaaSより責任は軽い。
SaaS(Software as a Service)
事業者:
- アプリまで提供
利用者:
- データ
- アカウント管理
- 設定
👉 最も利用者責任は小さいが、
設定ミスは利用者責任。
5. よくある事故の原因
典型例:
- ストレージ公開設定ミス
- アクセス権限過剰付与
- APIキー漏えい
- MFA未設定
これらは、
クラウド事業者の責任ではない。
利用者側の管理不足です。
試験ではここを問われます。
6. 試験での頻出ポイント
✔ IaaS・PaaS・SaaSの違い
✔ 責任範囲の判断問題
✔ 設定ミスの責任所在
✔ 契約とSLAの理解
特に、
「データ保護は誰の責任か?」
という問いは鉄板です。
答えは、
基本的に利用者側。
7. 共有責任モデルの本質
本質は、
クラウドは“共同管理”である
という理解。
物理的安全は事業者が守る。
しかし、
- アクセス制御
- パスワード管理
- ログ監視
- データ暗号化設定
これらは利用者責任。
“クラウドだから安全”ではなく、
“クラウドでも管理は必要”。
8. 経営視点での理解
クラウドは効率化の武器。
しかし、
管理設計を誤ると
大規模漏えいにつながる。
経営として問うべきは:
- 誰が設定を管理しているか
- 権限は適切か
- ログは監視されているか
技術ではなく、管理の問題です。
9. よくある誤解
❌ クラウド事業者が全部守る
→ 誤り
❌ SaaSは完全に安全
→ 設定ミスは利用者責任
❌ データバックアップも事業者任せ
→ 契約次第
これらは試験のひっかけになります。
10. 今日のアウトプット課題
考えてみてください。
- 自社はどのクラウド形態を使っているか
- IaaSか?PaaSか?SaaSか?
- アクセス管理は誰が担当か
- 設定ミスは検知できる体制か
答えられれば、理解は本物です。
11. 今日のまとめ
✔ 共有責任モデルは頻出
✔ IaaSは利用者責任が広い
✔ SaaSでも設定責任は利用者
✔ データ保護は基本的に利用者責任
✔ 管理設計が事故を防ぐ
次回:
Day12|アクセス制御の考え方(最小権限・職務分掌)
いよいよ、
“人をどう制御するか”に入ります。
-
-
🏢 Phase2:組織と管理(Day12)|アクセス制御の考え方(最小権限・職務分掌)|📘 30日間連続講座|情報セキュリティマネジメント合格ロードマップ
2026/3/1
前回の記事 1. 事故の多くは「権限」から起きる 情報漏えい、データ改ざん、不正持ち出し。 その多くは、 本来不要な権限を持っていた ことが原因です。 アクセス制御は、技術の話ではなく“統制”の話。 ...
