クラウドにおける責任共有でSaaSデータ・セキュリティのロックを解除

共有責任モデルを理解し、SaaS データ保護における重大なミスを回避する

目を閉じて、あなたの組織が今使っている as-a-service アプリケーションの数を思い浮かべてください。その数は、あなたが最初に推測した数の10倍に近いと言ったらどうでしょうか。

SaaS を含む XaaS アプリケーションは、Microsoft 365 を超えています。これは、クラウド プラットフォームとその基盤となるすべてのサービスに適用されます。マーケティング組織、営業チーム、財務グループなどに適用されます。

SaaSアプリケーション - どこでも一度に！

平均的な中堅企業は200以上のSaaSアプリケーションを使用しており、いくつかの調査報告によると、その71%はIT部門以外で支払われています。IT部門の人間であれば、これは驚くべきことではありません。これが現実なのです。HYCUでは、デジタルネイティブな組織からFORTUNE 500企業に至るまで、私たち自身の組織や多くのお客様、パートナー企業でこのような状況を見てきました。以下は、多くの組織でよく見られる「技術スタック」のサンプルです。これには、特定のプロダクションアプリケーションに関連するすべてのクラウドサービスやas-a-serviceアプリは含まれていません。

Image

Sample Tech Stack

Addressing the Gray Area：

SaaSにおけるデータの責任

SaaSアプリケーションの利用がこれほど人気がある理由はたくさんあります。SaaSアプリケーションは規模と柔軟性をもたらします。SaaSアプリケーションをサブスクライブすれば、オンサイトでの管理、パッチ適用、サーバー/データ センター エディションの更新を心配する必要はありません。URLにアクセスし、ログインすれば、すぐに使い始めることができます。それだけです。これ以上難しいことはありません。

しかし、SaaSのシンプルさが、大きな誤解につながっています。多くの企業が、自分たちはセキュリティに責任がない、つまりデータ保護やコンプライアンス、バックアップなどに責任を持つ必要はないと思い込んでいます。これは一般的な誤解であり、人々がこのように考える理由は理解できますが、根本的に間違っています。しかし、それは根本的に間違っています。その理由を説明し、クラウドやSaaSのアプリケーションやサービスにおいてどのような責任があるのかを詳しく説明しましょう。

システム - プロバイダーが責任を負うのはシステムであり、テナント（あなた）ではありません。

Jira Software というアトラシアンのアプリケーションを例に挙げてみましょう。世界で最も使用されているアプリケーションの 1 つです。信じられないですか？開発者やエンジニアリングチームのメンバーに聞いてみてください！サーバーやデータセンター版としてダウンロードまたはホストされた Jira は、主に Atlassian Cloud で使用されます。Atlassian Cloud = SaaS です。

さて、Jira をシステム、アトラシアンをその所有者であり唯一の責任者と考えてください。つまり、所有者として、すべてのインフラとセキュリティを管理し、電気をつけ続け、システムを安全かつセキュアに保つということです。

システム - プロバイダーはシステムに責任があり、テナント (あなた) には責任はありません。

テナント - お客様のアカウントとデータに対する責任はお客様にあり、クラウドプロバイダーに責任はありません。

私のような視覚的な学習者であれば、システムと顧客の共有責任を理解するための良い例えを紹介します。駐車場を思い浮かべてください。駐車場が必要なとき、あなたは駐車場に行き、お金を払えば駐車できます。駐車場は電気をつけ、利用しやすくする責任があります。

しかし、あなたの車はどうでしょう？傷がついていたり、誰かが侵入して何かを盗んだり、鍵をかけずに置いたために後部座席のものを勝手に食べたりしたらどうでしょう？これはガレージの責任ではなく、あなたの責任です。

ガレージはシステムであり、車はあなたのデータです。 つまり、

• 失われたデータ/設定の回復 (削除、破損、暗号化など)
• 。
• データのバックアップと安全なコピーを定期的に保持すること
• 組織のコンプライアンス要件に準拠すること (NIS2、DORA など)
• 社内でのアクセスと権限を保護すること

The Tenant - You are responsible for your Account and Data, not your Cloud Provider

これはわかりやすいモデルですが、ほとんどのIT管理者やアプリケーション所有者は、このモデルの存在に気づいていません。

間違いその1 - SaaSプロバイダーがデータを回復してくれると思い込むこと。

どのようなアプリケーションを使用していても、データの損失はつきものです。誤って削除してしまったり、バグがあったり、破損してしまったり、さらには内部からの脅威も日常茶飯事です。通常、顧客の最初の反応は、SaaSプロバイダーにデータの復旧を依頼できると考えることです。もちろん、ほとんどのSaaSプロバイダーは支援しようと努力しますが、現実にはそのようなことはできません。すべての共有責任モデルでは、プロバイダーはデータのバックアップと、失われたデータからの復旧は顧客のバックアップから行わなければならないことを明確に述べています。

次の図は、ユーザーと Microsoft の間の責任範囲を示しています。

間違いその2 - システムレベルのバックアップがユーザーのバックアップであると思い込むこと。

確かに、クラウド プラットフォームと SaaS アプリケーションはバックアップを保持しています。しかし、これらのバックアップは、インフラストラクチャ内の災害復旧やデータ損失のシナリオに使用されるシステムレベルのバックアップです。これらのバックアップは、テナントレベルのリカバリにはアクセスできません。

管理者の一人が誤ってデータを削除してしまいましたか?それはあなたの責任です。

たとえば、Salesforceはシステムレベルのバックアップを保持していますが、データのバックアップの重要性を顧客に伝えるために直接的な対策を講じています。

Salesforce データをバックアップするベストプラクティス

間違いその3 - データ保持とコンプライアンスを真剣に考えていないこと。

駐車場の例えを続けましょう。事故の際や法律により、車には保険をかけておかなければなりません。同じことがコンプライアンスにも当てはまります。

規制コンプライアンス（例：HIPAA）や、NIS2やDORAのような政府が支援する指令を満たす必要がある場合、SaaSに頼ることはできません。

たとえば、NIS2およびDORAの規制では、バックアップを作成し、リカバリをテストし、必要なすべての手順を完了したことを示す文書を提供することが明確に義務付けられています。このためにシステムレベルのバックアップを使用することはできません。

NIS2 では、必要不可欠で重要なエンティティは、サイバー脅威の可能性が高い特定の形態に対処するために、基本的なセキュリティ対策を実施することが義務付けられています。

これは何を意味するのでしょうか？手遅れになる前に、多くの人が犯しかねない過ちに陥らないようにしましょう。データを保護し、バックアップを取り、誤って削除したり悪意のある攻撃を受けたりした場合に回復できるようにしておきましょう。しかし、ほとんどの場合、データ資産を把握することから始まります。自社の環境で稼働しているSaaSアプリケーションやクラウドサービスの数を正確に把握することは興味深い話ですが、把握できていないことがすべての始まりであることもよくあります。

もっと知りたいですか

• SaaSデータ保護の謎解き：
• SaaSデータ黙示録の回避：The Role Data Protection will Play in the Battle To Save Our Digital Future
• 詳細はこちら、 デモに申し込む
• R-Cloud
• AWS責任共有モデル
• R-の可能性を解き放ちます。総合的なテスト

でグラフを表示します。