クラウドセキュリティ

データは、現代のデジタル化された経済のツールであり、企業（民間部門）だけでなく、国家（公共部門）にとっても新しい金である。今日のデジタル化された世界では、止めどなく新しいデータ記録がインターネット上に大量に存在する。これらのデータ記録の中には、デジタル・アイデンティティを表す個人データに関するものもある。企業における真の技術とは、このデータを注意深くフィルタリングし、何よりも保存することである。このショート・ペーパーの目的は、クラウド上のデータと、それが企業の観点からどのように処理されるかを示すことである。さらに、このショート・ペーパーでは、自社のデータ処理のための強固な基盤を持つために、業界がどのような種類の契約、アーキテクチャ、サイバー攻撃に対する適切なセキュリティ対策を取っているかを示す。

クラウドセキュリティのトピックに入る前に、まずクラウドコンピューティングについて、その仕組みとクラウドの構造について、いくつかの重要な事実を学ぶことが重要である：「クラウド・コンピューティングとは、設定可能なコンピューティング・リソース（ネットワーク、サーバー、ストレージ・システム、アプリケーション、サービスなど）の共有プールに、ネットワークを介していつでもどこからでも必要に応じてアクセスできるデータ処理のモデルである。これらは、最小限の管理作業やサービスプロバイダーとのやり取りで、迅速に利用できるようになる。クラウドは3つの形態（IaaS（Infrastructure as a Service）、PaaS（Platform as a Service）、SaaS（Software as a Service））で利用できる。クラウドの種類は、提供形態（プライベートクラウド、コミュニティクラウド、パブリッククラウド、ハイブリッドクラウド）によって異なる」[1]。

クラウドコンピューティングの分野では、さまざまなタイプのプロビジョニング、つまりクラウドプロバイダーがクラウドサービスをユーザーに提供する方法がある。クラウド・コンピューティングには、主に4つのモデルがある：

1. パブリック・クラウド

パブリック・クラウドでは、すべてのユーザーが以下のようなコンピューター・リソースにアクセスできる。ハードウェア（オペレーティング・システム、CPU、メモリ）やソフトウェア（アプリケーション・サーバー、データベース）などのコンピュータ・リソースに、すべてのユーザーがサブスクリプションまたは従量課金でアクセスできる。実用的な使用例としては、ファイル共有や電子メールサービスなど、重要なタスクやそうでないタスクのアプリケーションの開発やテストが挙げられる。

2. プライベート・クラウド

プライベート・クラウドは通常、単一の組織で明示的に使用され、内部で管理するか、外部のITサービス・プロバイダーが管理する。プライベート・クラウドは、パブリック・クラウドよりも取得や保守のための投資額が高くなることが多いが、組織のセキュリティやデータ保護の懸念により効果的に対応することができる。

3. ハイブリッド・クラウド（物理データセンター、外部のプライベート・クラウドとパブリック・クラウドのハイブリッド形態）

ハイブリッド・クラウドは、プライベート・クラウドとパブリック・クラウドの両方のインフラを利用する。企業は必要に応じてITインフラを迅速に拡張するために、このモデルを選択する。例えば、あるオンライン小売業者は、ホリデーシーズンにパブリック・クラウドのリソースを利用して、プライベート・クラウドのキャパシティを補ったり、緩和したりすることができる。

4. コミュニティ・クラウド

コミュニティ・クラウドは、コンピュータ・リソースを 共同で利用する複数の組織をサポートする。例えば、特定の 研究 分野で 共同研究を行う大学や、リソースを共有する地区内の警察などの国家機関がこれに該当する。コミュニティ・クラウドへのアクセスは、そのコミュニティのメンバーに制限されている。

パブリック・クラウドの場合、エンドユーザーのコストは伝統的に低く、大規模な投資を必要としない。一方、プライベート・クラウドは投資が必要である。一方、プライベート・クラウドには投資が必要だが、独自のインフラストラクチャーの運用コストと比較すると、根本的な節約になる。原則的には節約になる。プライベート・クラウドはまた、パブリック・クラウドよりもセキュリティとコンプライアンスコンプライアンスへの対応も、パブリック・クラウドより保証されている。このため、ビジネスクリティカルなデータや機密性の高いアプリケーションにはプライベートクラウドを使用し、アプリケーション開発、テスト環境、電子メールサービスなどの基本的な作業にはパブリッククラウドを使用する組織もある。[2]

ハイブリッドクラウドソリューションは、サイバー攻撃のリスクを最小化または分散化するのに適した方法です。ハイブリッド・クラウドは、パブリック・クラウドを純粋に利用する場合と比較して、自社のセキュリティをよりコントロールしやすくなります。さらに、ハイブリッド・クラウド・インフラでは、個別のセキュリティ基準を設定したり、プライベート・サーバー上でカスタマイズしたソフトウェアを構成したりすることも可能です。プライベートサーバー上のソフトウェアのカスタマイズされた構成。このような分散は、システムの信頼性を高め、システム問題の評価を向上させる。

加えて、サーバーを自社で購入して保守する場合よりもコスト効率が高くなる。[3]

クラウド・サービスのアーキテクチャ・モデル

セキュリティ管理の強化から信頼性の向上まで、ハイブリッドクラウドソリューションのこうした利点を考えると、さまざまなクラウドサービスアーキテクチャを理解することが重要である。これらのアーキテクチャ、すなわちIaaS（Infrastructure as a Service）、PaaS（Platform as a Service）、SaaS（Software as a Service）は、それぞれ異なるレベルのサービス提供を提供し、コンプライアンスに対する責任を定義している。

1. サービスとしてのインフラストラクチャー（IaaS）

IaaSプロバイダーは、基本的なコンピューティング、ストレージ、ネットワーク・インフラ、および仮想化用のハイパーバイザーを提供する。仮想化のためのハイパーバイザー。ユーザーは、仮想インスタンスの作成と管理、オペレーティング・システムのインストール、アプリケーションとデータの提供、および構成全体の責任を負う。IaaSは中小企業にとっても興味深い。自社で運用しないクラウドインフラのシンプルな運用は、自社でハードウェアを購入するよりも費用対効果が高い。

例DigitalOcean、AWS、Azure、Google Compute Engineなど。

2. サービスとしてのプラットフォーム（PaaS）

PaaSプロバイダーは、オペレーティング・システムやミドルウェア（データベースなど）を追加することで、IaaSよりもアプリケーション・スタックを拡張する。ユーザーはアプリケーションの開発に集中できる。プラットフォームは基盤となるインフラを管理する。

例AWS Elastic Beanstalk、Google App Engineなど。

3. サービスとしてのソフトウェア（SaaS）

SaaSプロバイダーは、完全なアプリケーション・スタックを提供する。ユーザーは、ウェブブラウザ経由で完全にホストされたアプリケーションにアクセスできる。ワークロードとITリソースの管理は完全にSaaSプロバイダーの管理下にあり、ユーザーはアプリケーションによって作成されたデータを明確に管理することができる。

例：aBusiness Suite、Salesforce、Dropbox、Google Workspace。[4]

契約法におけるクラウド

SaaS契約は、まだ立法者によって明確に法律で扱われていない。現在までのところ、SaaS契約は、サービス契約、業務契約、レンタル契約の側面を含む混合契約としてのみ法的に分類することができる。したがって、適用される法領域は、契約の各サービス部分によって異なる。ソフトウェアの提供は、借地借家法に基づく財産の移転に最もよく例えられるため、SaaS契約の中心的な要素は、主に借地借家法にある。ソフトウェアは借地借家法の意味での「物」とはみなされないため、現在の見解では、SaaS契約は使用のための一時的な譲渡を意味する。これは、借地借家法の規制や目的と調和している。[5]

PaaS契約は、主にサービスレベル契約（SLA）によって特徴付けられる。PaaS契約は、サービスレベル契約（SLA）によって特徴付けられる。

PaaSサービスは機密データの処理を伴うことが多いため、データ保護とデータセキュリティは極めて重要な役割を果たす。契約には、以下の個人データ保護に関する明確な条項が含まれていなければならない。契約には、個人データの保護に関する明確な規定が含まれていなければならない。また、作成されたアプリケーションの知的財産の所有者を契約に明記することも不可欠であり、通常、アプリケーションの所有権はユーザーに、プラットフォームの所有権はプロバイダーに帰属する。[6]

結論

新興企業、ベンチャー企業、中小企業、大企業のいずれであっても、クラウドのセキュリティはすべての組織にとって極めて重要である。

企業としてどのクラウド・プロバイダーと協業するかを検討することだけが重要なのではない。プロバイダーだけでなく、どのような枠組みの条件が設定されているかも重要だ。

最終的には、セキュリティはクラウド技術サービス・プロバイダーだけの責任ではなく、企業の従業員もクラウドのセキュリティ面で同様に重要な役割を果たす。

従業員がセキュリティ・ポリシーや手続きに対処するために必要なノウハウを確実に身につけられるよう、従業員のトレーニングや意識向上に定期的に投資することが不可欠である。しかし、クラウドのポテンシャルをフルに発揮するためには、企業は自社または外部パートナーのシステムの保守と、新しいITスタッフの採用の両方に投資する必要がある。こうすることで、企業はシステムのセキュリティを確保し、顧客満足度を高めることができる。

外部のクラウド・プロバイダーを選択する際、常にネックになるのは、企業が海外のプロバイダーに依存することと、そのクラウド・プロバイダーが提供するサービスである。海外のプロバイダーとそのデータ保護規制への依存である。企業は、データ保護ガイドラインの徹底的な検討、リスクを最小化するためのハイブリッド・クラウド・アプローチ、セキュリティ対策やプロバイダー認証の評価、データ保護への影響評価、定期的な監視と監査、データ保護違反の可能性への備えといった対策によって、この難題に対処している。企業の規模や業種によって戦略は異なるが、いずれもデータ保護のコンプライアンスを確保し、外部のクラウドサービスを扱う際の潜在的なリスクを最小限に抑えることを目的としている。

情報源一覧

クラウド・コンピューティング
https://www.swissbanking.ch/de/themen/digitalisierung-innovation-cyber-security/cloud-computing

クラウド展開モデル (2014)
https://www.sciencedirect.com/topics/computer-science/cloud-deployment-model

クラウドを理解する - パブリッククラウドとは何か、ハイブリッドクラウドとは何かを知っていますか？(2023)
https://www.speechlive.com/at/blog/die-cloud-verstehen-wissen-sie-was-eine-public-cloud-und-was-eine-hybride-cloud-ist

IaaSとは？定義と興味深い事実
https://bsh-ag.de/it-wissensdatenbank/iaas-infrastructure-as-a-service/

サービスとしてのプラットフォーム（PaaS） (2022)
https://www.computerweekly.com/de/definition/Platform-as-a-Service-PaaS

SaaS契約書作成時の注意点 (2022)
https://www.top.legal/wissen/saas-vertraege

Platform-as-a-Service契約（PaaS契約）：ガイド（2023年）
https://www.anwalt.de/rechtstipps/platform-as-a-service-vertraege-paas-vertraege-ein-leitfaden-216904.html

トピックに関連する記事

私のデータには、どのバックアップタイプが最適ですか？
選択する際に最もよくある質問
Windowsの各種ファイルシステムのメリット・デメリット

コメントはこちらから...