クラウドサービスの責任分界点

クラウドサービスの契約および利用にあたっては、クラウド事業者と利用者の責任の分担を明確にし、利用することが重要となります。たとえば、「当社の設備に接続するためのインターネット接続サービスの不具合などの利用者における接続環境の障害については、クラウドサービス事業者は責任を負わない。」とされているのが通例です。

クラウドサービス事業者は、ユーザ企業が用意をしたインターネット環境やアプリケーションやデータベースなどのユーザー企業側の環境によって発生した損害までは負担しないと規定されています。ユーザ企業は、クラウドサービス事業者がどこまで責任を負い、自社がどこまでを責任を持つかは、ユーザ企業自身がサービス仕様を事前に十分な確認が必要で、ユーザ企業の責任範囲となる部分は、ユーザ企業自身の判断で対策をとる必要があります。

たとえば、クラウドサービス事業者がIaaSまでを提供する場合はハードウェアやCPU、ストレージ、ハイパーバイザーなどのコンピューティングリソースとなります。SaaSまでを提供する場合は、ミドルウェアからアプリケーションの部分も含めて、クラウドサービス事業者の責任範囲となり、クラウドサービスの利用モデルで責任分界点は異なります。クラウドサービスをPaaSやIaaSなどの複数の利用をする場合は、より複雑となります。

特にセキュリティインシデントを想定した対策が必要となり、クラウドサービス事業者がのIaaSのみの利用場合は、ユーザ企業がOSのセキュリティ対策やアプリケーションの可用性の確保、データの保護などは、ユーザ企業側の責任範囲となります。セキュリティインシデントの対応を想定し、インシデントが生じた際の情報提供やサポート体制の確認などの責任分界点の明確化と体系化、そして、クラウドサービス事業者などと円滑にコミュニケーションがとれるような仕組みも準備しておく必要があります。