クラウドは安全か？ 事業者との責任分界点、注目すべき安全基準とは：クラウドガバナンス現在進行形【第3回】

「クラウドはオンプレミスに比べて安全ではない」は本当か？　そもそも「安全」とは何か、そしてクラウド利用における利用者と事業者の責任分界点、事業者の安全基準を測るポイントを解説する。

[川田大輔]

　毎回冒頭で引用している経済産業省企業IT動向調査によると、企業利用者の56％がクラウドサービスのセキュリティに懸念を抱いているという。クラウドはNISTの定義が指摘するように本質的にセルフオンデマンドだ。よってクラウド上で利用者が行ったまずいセキュリティ設定などの結果、利用者が被害を受けるような事態が発生したとしても、当然それは利用者の責任だ。そう考えるとベンダーが約款や規約の中でひっそりと主張している“顧客責任”という言い分にも一定の理解は示せるが、どこまでが利用者の責任に帰し、どこからは事業者の責任となるのか、その責任分界点をきちんと整理しておく必要があるだろう。クラウド利用のリスクマネジメントについて整理してみたい。

NISTによるクラウドの定義に関する記事

• エンタープライズクラウドを構成する4つの利用モデル
• エンタープライズクラウド開花予想　～クラウドEXPO観戦記（前編）
• プライベートクラウド向けインフラを検討する

「安全」とは何か？

　第2回「クラウドは本当にコストダウンになるのか」の後半で、リスクを含めた事業統治の仕組みとしてコーポレートガバナンスが定義され、そのICT側面にスコープしたITガバナンス標準によってクラウドガバナンスも実現できることを紹介した。今回はリスクマネジメントの観点から紹介するが、その前に1つだけ、ぜひ押さえておきたい概念がある。そもそも「安全」とは何か？

　規格に安全性を盛り込む場合の指針を規定している「ISO/IEC Guide51:1999（JIS Z 8051:2004）」はリスクを、

• リスク（Risk）：危害の発生確率およびその危害の程度の組み合わせ

と定義し、

• 危害（Harm）：人の受ける身体的傷害もしくは健康傷害、または財産もしくは環境の受ける害

であるとしている。この2つの定義に基づいて、

• 安全（Safety）：受け入れ不可能なリスクから解放されていること

であると定義している。この定義は裏返して読むと「完全な安全は存在しない」ことを示している。国語辞書が示す安全の定義は「危険がなく安心なこと」（goo辞書）であるが、実務の世界では「安全」は非常に限定された意味しか持たない。国語辞書的な意味での安全は幻想にすぎない点を強調しておきたい。一方、ISO/IEC定義の延長上で「安全」の追求を工学的に突き詰めていくとIFIP Working Group 10.4が定義したディペンダビリティ（Dependability）に行き着く。信頼性工学的なアプローチであるディペンダビリティに対してITガバナンスは事業遂行上、受け入れ可能なリスク空間を把握するアプローチであるといえる。筆者はITガバナンスの精緻化、クラウド普及の進展によってディペンダビリティが確保できる時代が来ると考えている。

IaaSにおける既知のリスクを定義

　さて、受け入れ不可能なリスクから解放されていることが安全の定義であるなら、どのような種類のリスクをどの程度であれば受け入れられるのかを確定しないと「安全」は担保できないことになる。もちろん、未知のリスクという判断不能なリスクの存在可能性は常に排除できないが、現在知られているリスクドメイン（リスク分野）については十分な検討を済ませておく必要がある。「クラウドは本当にコストダウンになるのか」でも紹介したCSAのSecurity Guidance for Critical Areas of Focus in Cloud Computing v2.1のドメイン編成は既知のリスクをよくまとめているのでこの定義をベースに2点ほどドメインを増やし、ガバナンス視点でレイヤーケーキ化してみた（図1）。