「自社でシステムを構築するより、クラウド事業者にデータを預けた方が安全」。クラウドサービス提供者の定番のセールストークとなっている。筆者もオンプレミスとクラウドサービス利用時の利用者の責任範囲の違いをこのような図をもとに説明している。図中オレンジの部分がユーザが責任を持って管理しなければならない部分で、グレーの部分がサービス提供者が管理する部分だ。自社でシステムを構築するオンプレミスの場合には、ユーザはネットワーク、サーバ、OSの全ての部分をユーザ責任で管理すル必要がある。しかし、IaaSを利用すればネットワーク、サーバ部分はクラウド事業者が面倒を見てくれるし、SaaSになればその範囲はさらに拡がる。

　クラウド事業者に全てを委ねた方が安全ではないか、そう考えるのも当然だ。しかし、この説明には落とし穴がある。クラウド事業者が安全性を保証してくれる部分は主に、情報セキュリティの「可用性」の部分であり、自然災害や物理的なデータセンターへのアクセスに対しては非常に高度な対策が実施されているが、「ユーザ都合のデータ消失」や、「攻撃者の侵入によるデータ消失」等は、保証の対象外であることが大半だ。

　昨年、EMCが「Trends in SaaS DATA PROTECTION」という興味深いレポートを発表している。これによれば、クラウド利用で先行している欧米企業において、過去12ヶ月間でSaaS上に保管したデータ消失を経験していない企業は約2割となっている。

　・US企業の回答

　- Accidental deletion (43%)

　- Migration to a SaaS provider (33%)

　- Accidental overwriting of correct information with incorrect information (27%)

　- Hackers and/or hacktivists (25%)

　- no data loss(23%)

　・UK企業の回答

　- Accidental deletion (40%)

　- Migration to a SaaS provider (31%)

　- Accidental overwriting of correct information with incorrect information (26%)

　- Hackers and/or hacktivists (20%).

　- no data loss (21%)

SaaS上のデータ消去で最も多いのはUS、UK共に「操作ミスによる消去」。次いで、SaaSプロパイダーへの移行、不注意による上書きと続く。そして、最後に攻撃者からの攻撃となっている。

■SaaSのデータ管理はユーザ企業が責任を持って管理する

　このアンケート結果から読み取れることは、SaaSを利用するからといって、全てをクラウドサービス事業者に丸投げしてよいわけでは無いということだ。ユーザの不注意に対する消去にはデータバックアップの対策をとる必要が有るし、外部からの攻撃に対してもクラウドサービスを攻撃者から守るCASBソリューション等が必要となる。

　クラウド利用を検討している企業経営者やシステム管理者はクラウド事業者のセールストークを鵜呑みにせず、自社にとって必要なリスク対策を検討する必要があるだろう。