セキュリティチェックシート：外部委託/クラウド利用時の責任分界の答え方

### このページの目的 クラウド（IaaS/PaaS/SaaS）を利用している場合、全てを自社でやっていると答えるのは間違いです。責任の境界線を明確にします。 ### 得られるもの - 責任共有モデル（Shared Responsibility Model）の使いこなし - ベンダーの認証（SOC2等）の引用方法 - 「委託先管理」項目のクリア --- ### 回答テンプレート #### パターンA：AWS/GCP/Azure利用（IaaS） ```text クラウド基盤（物理設備、ネットワーク、ハイパーバイザー）のセキュリティおよびログ管理については、クラウド事業者の責任共有モデルに基づき、事業者の認証（SOC2 Type2, ISO27001）に準拠しています。 当社は、OSより上位のレイヤー（OSパッチ、ミドルウェア、アプリケーション、データアクセス権限）について管理責任を負い、これらに対するアクセス制御および監査ログ取得を実施しています。 ``` #### パターンB：SaaS利用（Salesforce/kintone等にデータがある場合） ```text データの保管場所となるSaaSプロバイダーは、第三者認証（ISMS/SOC2）を取得済みの信頼できるベンダーを選定しています。 当社はSaaS上のユーザー管理、アクセス権限設定、およびSaaSから提供される監査ログの定期的な確認に責任を持ち、運用しています。 ``` --- ### 添付・証跡として用意すべきもの 1. **クラウド事業者の認証レポート**: AWS Artifact等からDLできる資料（表紙だけでOK）。 2. **委託先管理台帳**: 利用しているクラウドサービス一覧と、それぞれの責任範囲メモ。 ### やってはいけないNG回答 - ❌ 「すべてAWSがやってくれています」（設定責任放棄） - ❌ 「わかりません/委託しています」（管理能力不足） ### 最小構成 vs 推奨構成 | 項目 | Minimum（最低ライン） | Recommended（推奨ライン） | |---|---|---| | **管理** | ベンダーのHPを見て安心する | 定期的に第三者認証レポートを確認・保管 | | **設定** | デフォルト設定 | ベンダー推奨のセキュリティ設定（CIS Benchmark等）適用 |