クラウドセキュリティに焦点を当てる：デジタル化された世界で企業の機密データを保護するための戦略、アーキテクチャ、契約モデル

データは、現代のデジタル経済におけるツールであり、企業（民間部門）だけでなく国家（公共部門）にとっても「新たな金」とも言える存在です。今日のデジタル化された世界では、膨大な数の新しいデータセットが絶え間なく生成され、その多くがインターネット上に流出しています。 その中には、デジタルアイデンティティを構成する個人データも含まれています。企業にとって真の課題は、これらのデータを慎重に選別し、何よりもまず、適切に保存することにあります。本論文では、企業の視点から、クラウド上のデータとその処理について考察します。 さらに、本稿では、自社のデータ処理のための強固な基盤を構築するために、産業界がどのような契約形態、アーキテクチャ、およびサイバー攻撃に対する適切なセキュリティ対策を講じているかについても明らかにする。

クラウドセキュリティというテーマに直ちに入る前に、まずはいわゆる「クラウドコンピューティング」の基本情報、その仕組み、およびクラウドの構成について理解しておく必要がある。 「クラウドコンピューティングとは、必要に応じていつでもどこでも、ネットワークを介して、構成可能なコンピューティングリソース（例：ネットワーク、サーバー、ストレージシステム、アプリケーション、サービス）の共有プールに便利にアクセスできるデータ処理モデルです。 これらは、最小限の管理作業、あるいはサービスプロバイダーとのやり取りを最小限に抑えつつ、迅速に提供される。クラウドは、3つの形態（Infrastructure as a Service（IaaS）、Platform as a Service（PaaS）、Software as a Service（SaaS））で利用することができる。 クラウドの種類は、提供形態（プライベートクラウド、コミュニティクラウド、パブリッククラウド、ハイブリッドクラウド）によって異なります。」 [1]

クラウドコンピューティングの分野では、クラウドプロバイダーがユーザーにクラウドサービスを提供する形態がいくつかあります。クラウドコンピューティングに関連する主なモデルは4つあります：

1. パブリッククラウド

パブリッククラウドは、すべてのユーザーが、 サブスクリプション方式または従量課金制で、ハードウェア（OS、CPU、メモリ）やソフトウェア（アプリケーションサーバー、データベース）などのコンピューティングリソースにアクセスできるようにします 。 実際のユースケースとしては、ファイル共有や電子メールサービスなど、重要度の高いタスクや重要度の低いタスクのアプリケーション開発やテストなどが挙げられます。

2. プライベートクラウド

プライベートクラウドは通常、単一の組織によって排他的に利用され、内部で管理されるか、外部のITサービスプロバイダーによって運用されます。プライベートクラウドは、導入や保守にかかる投資のため、パブリッククラウドよりもコストが高くなる傾向がありますが、組織のセキュリティやデータ保護に関する懸念に対してより効果的に対処できます。

3. ハイブリッドクラウド（物理データセンター、または外部のプライベートクラウドおよび／またはパブリッククラウドを組み合わせた形態）

ハイブリッドクラウドは、プライベートクラウドとパブリッククラウドの両方のインフラストラクチャを利用します。企業は、必要に応じてITインフラストラクチャを迅速に拡張するためにこのモデルを選択します。例えば、オンライン小売業者は、繁忙期にパブリッククラウドのリソースを利用して、プライベートクラウドの容量を補完したり、負荷を分散させたりすることができます。

4. コミュニティクラウド

コミュニティクラウドは、コンピュータリソースを 共同で利用する 複数の組織を支援します。これには 、 特定の 研究分野で協力する 大学 や、郡内の警察署など、リソースを共有する政府機関などが 含まれます 。コミュニティクラウドへのアクセスは、そのコミュニティのメンバーに限定されています。

パブリッククラウドの場合、通常、エンドユーザーにとってコストは低く、大きな投資も必要ありません。一方、プライベートクラウドは 投資 が必要ですが 、自社インフラの運用コストと比較すると、 基本的にコスト削減 につながります 。 また、プライベートクラウドは パブリッククラウドよりも高いセキュリティと コンプライアンスのサポートを保証します 。そのため、一部の組織では、ビジネスに不可欠なデータや機密性の高いデータ、アプリケーションにはプライベートクラウドを、アプリケーション開発、テスト環境、メールサービスなどの基本的なタスクにはパブリッククラウドを利用しています。[2]

ハイブリッドクラウドソリューションは、サイバー攻撃のリスクを軽減、あるいは分散させるために適しています。これは、パブリッククラウドのみを利用する場合と比較して、自社のセキュリティに対するより大きな制御を提供します。 さらに、ハイブリッドクラウドインフラストラクチャでは、独自のセキュリティ基準を設定したり、 プライベートサーバー上でソフトウェアを カスタマイズして構成したりすることが可能です 。このような分散化により、システムの信頼性が向上し、システムの問題を適切に評価・分類できるようになります。

さらに、オンプレミスでのサーバー購入や保守に比べて、コスト効率も高くなります。[3]

クラウドサービスアーキテクチャモデル

セキュリティ管理の強化から信頼性の向上に至るまで、ハイブリッドクラウドソリューションがもたらすこれらの利点を踏まえると、さまざまなクラウドサービスアーキテクチャを理解することが重要です。 これらのアーキテクチャ、すなわちInfrastructure as a Service（IaaS）、Platform as a Service（PaaS）、Software as a Service（SaaS）は、異なるレベルのサービス提供を行い、コンプライアンスに関する責任の範囲もそれぞれ異なります。

1. インフラストラクチャ・アズ・ア・サービス（IaaS）

IaaSプロバイダーは、基本的なコンピューティング、ストレージ、ネットワークインフラストラクチャ、 および仮想化のためのハイパーバイザーを提供します。仮想インスタンスの作成と管理、オペレーティングシステムのインストール、アプリケーションとデータの提供、および全体的な構成については、ユーザーが責任を負います。 IaaSは、小規模事業者や中小企業にとって魅力的な選択肢です。自社で運用しないクラウドインフラを簡単に利用できるため、ハードウェアを自社で購入するよりもコスト効率に優れた代替手段となります。

例：DigitalOcean、AWS、Azure、Google Compute Engine、Hetzner Cloud

2. Platform as a Service (PaaS)

PaaSプロバイダーは、OSやミドルウェア（例：データベース）を追加することで、IaaSよりもアプリケーションスタックを拡張します。ユーザーはアプリケーション開発により集中できます。基盤となるインフラストラクチャはプラットフォームが管理します。

例：AWS Elastic Beanstalk、Google App Engine

3. ソフトウェア・アズ・ア・サービス（SaaS）

SaaSプロバイダーは、完全なアプリケーションスタックを提供します。ユーザーはWebブラウザを介して、完全にホストされたアプリケーションにアクセスできます。ワークロードとITリソースの管理は完全にSaaSプロバイダーの管轄下にある一方、ユーザーはアプリケーションによって生成されたデータに対して明示的な管理権限を持ちます。

例：Salesforce、Dropbox、Google Workspace、aBusiness Suite[4]

契約法におけるクラウド

SaaS契約は、これまで立法者によって明示的に法的に扱われてきませんでした。現時点では、SaaS契約は、サービス契約、請負契約、賃貸借契約の要素を含む混合契約としてのみ法的に分類することができます。したがって、適用される法領域は、契約の各履行段階によって異なります。 SaaS契約の中心的な要素は、主に賃貸借法に属する。なぜなら、ソフトウェアの提供は、賃貸借法における所有物の譲渡に最もよく類似しているからである。 ソフトウェアは賃貸借法上の「物」とはみなされないため、現在、SaaS契約は使用のための期間限定の譲渡であるとの見解が主流である。これは、賃貸借法が追求する規定および目的と調和している。[5]

PaaS契約は、 最低限のサービス水準を定め、契約当事者双方の権利および義務を定義するサービスレベル契約（SLA）によって大きく特徴づけられる 。

PaaSサービスでは機密性の高いデータが処理されることが多いため、データ保護およびデータセキュリティは極めて重要な役割を果たす。 契約には 、個人データの保護に関する明確な 規定が含まれていなければならない。さらに、作成されたアプリケーションの知的財産権を誰が保有するかを契約で定めることは避けられないが、通常、ユーザーはアプリケーションの所有権を保持し、プロバイダーはプラットフォームの所有権を保持する。[6]

結論

スタートアップ、ベンチャーキャピタル、中小企業、あるいは大企業を問わず、クラウドセキュリティはあらゆる企業にとって極めて重要です。

その際、企業としてどのクラウドプロバイダーと 提携するかだけでなく 、その際にどのような枠組みを設定するかも考慮する必要があります 。

結局のところ、セキュリティはクラウド技術のサービスプロバイダーだけの責任ではなく、企業の従業員もクラウドのセキュリティ面において同様に重要な役割を担っています。

従業員がセキュリティポリシーや手順を適切に扱えるよう、必要なノウハウを確実に身につけさせるためには、定期的な研修や意識啓発への投資が不可欠です。 しかし、クラウドの潜在能力を最大限に引き出すためには、企業は自社のシステムや外部パートナーのシステムの保守だけでなく、新しいIT人材の採用にも投資すべきです。 そうすることで、企業はシステムのセキュリティを確保し、ひいては顧客満足度を高め、長期的に企業の評判を向上させることができます。

外部のクラウドプロバイダーを選定する際の大きな課題は、従来より 、海外プロバイダーへの依存と、そのデータ保護規制にあります 。 企業はこの課題に対し、データ保護方針の徹底的な検証、リスク最小化のためのハイブリッドクラウドアプローチ、プロバイダーのセキュリティ対策や認証の評価、データ保護影響評価、定期的なモニタリングと監査、そしてデータ侵害への備えといった措置を講じています。 戦略は企業の規模や業界によって異なりますが、いずれもデータ保護コンプライアンスを確保し、外部クラウドサービスの利用に伴う潜在的なリスクを最小限に抑えるという目標を共有しています。

参考文献

クラウドコンピューティング
https://www.swissbanking.ch/de/themen/digitalisierung-innovation-cyber-security/cloud-computing

クラウド導入モデル (2014)
https://www.sciencedirect.com/topics/computer-science/cloud-deployment-model

クラウドを理解する - パブリッククラウドとハイブリッドクラウドの違いをご存知ですか？ (2023)
https://www.speechlive.com/at/blog/die-cloud-verstehen-wissen-sie-was-eine-public-cloud-und-was-eine-hybride-cloud-ist

IaaSとは？定義と知っておくべきこと
https://bsh-ag.de/it-wissensdatenbank/iaas-infrastructure-as-a-service/

Platform as a Service (PaaS) (2022)
https://www.computerweekly.com/de/definition/Platform-as-a-Service-PaaS

SaaS契約を作成する際に注意すべき点 (2022)
https://www.top.legal/wissen/saas-vertraege

Platform-as-a-Service（PaaS）契約：ガイド（2023年）
https://www.anwalt.de/rechtstipps/platform-as-a-service-vertraege-paas-vertraege-ein-leitfaden-216904.html