企業のクラウド利用において昨今導入が進んでいるのが、アプリケーションそのものをサービスとして提供する「SaaS」の導入です。Office 365、あるいはG SuiteといったSaaSを全社的に導入する企業が増えているほか、クラウド上にファイルを保存できる「Box」に代表されるオンラインストレージサービスの利用も広まっています。これらのSaaSは使い勝手のよさが特徴と言えますが、IaaSやPaaSとはセキュリティの考え方が異なっている点に注意が必要です。

　仮想サーバを提供するIaaS、あるいはソフトウェアの実行環境を提供するPaaSでは、ユーザー企業の責任範囲の中でセキュリティ対策を行うことが可能となっています。具体的には、ファイアウォールなどによる境界防御やウイルス対策ソフトの導入などです。このため、自社で定めた要件に応じてセキュリティ対策を実施することができます。

　一方SaaSでは、セキュリティはサービス提供側の責任範囲内にあるため、IaaSやPaaSのようにユーザー企業側で対策を講じることはできません。つまり、原則SaaSサービス提供者任せとなってしまうのです。もちろんサービス提供者の責任において、データの暗号化をはじめとするセキュリティ対策が講じられていることが大半でしょう。しかしSaaSでの情報漏えい事件が発生しているのも事実であり、完全に信頼できるわけではありません。

　そこで注目され始めているのがクラウドサービス（特にSaaS）へのアクセスに際して、情報漏えい防止などの仕組みを提供してくれる、「CASB（Cloud Access Security Broker：キャスビー）」と呼ばれるソリューションです。

クラウドサービスの責任共有モデル