【SaaS,PaaS,IaaSを利用している方必見！】クラウドサービスの責任範囲を分かりやすく解説

最新のITトレンドを分かりやすく伝えるテックスクエア。

今回はクラウド活用における情報漏洩をテーマに、

「情報漏洩の責任はベンダーが取るべきなのか、ユーザーが取るべきなのか」
「情報漏洩を防ぐために何をすればよいのか」

そういった疑問に答えています。

止まらぬ情報漏えい　事故件数は過去最高水準へ

年々、情報漏洩・紛失事件が増え続けています。

東京商工リサーチの調査によると、情報漏えい・紛失事故は長期的に増加傾向にあることが分かります。2012年には71件だった事故件数は、その後増減を繰り返しながらも右肩上がりに推移し、2020年には103件、さらに2024年には189件と大きく増加しています。

直近の2025年においても180件と高水準を維持しており、依然として深刻な状況が続いていることが読み取れます。また、事故を公表した企業数も同様に増加しており、企業活動における情報管理リスクが年々高まっていることがうかがえます。

この推移から、情報漏えい・紛失は一部の企業だけの問題ではなく、あらゆる企業にとって無視できない経営リスクとなっていることが明らかです。適切な対策と継続的な管理体制の強化が、これまで以上に求められていると言えるでしょう。

某国内電機メーカーで流出した約1万件の情報

過去に国内大手電機メーカーにおいて、取引先情報や顧客情報など約1万件規模の情報が流出する事件が発生しました。
何者かによって同社が利用していたクラウドサービス（旧Office 365、現 Microsoft 365）へ不正ログインが行われ、そこから取得された情報をもとにさらなるサイバー攻撃が発生したとされています。

同社は防衛関連の重要情報も取り扱っていたことから、単なる情報漏洩にとどまらず、国家レベルのリスクに波及する可能性も指摘されました。
この事例は、ユーザー企業側のアカウント管理やアクセス制御の不備が重大なインシデントに直結することを示しています。

SaaSベンダーで発生した最大数十万件規模の情報流出

SaaS型のECサイト構築サービスを提供するITベンダーにおいても、大規模な情報漏洩事件が発生しています。
当該サービスを利用していた複数の企業にまたがり、顧客情報が漏洩。調査の結果、ECシステムの基盤サーバーに対する不正アクセスの痕跡が確認されました。

影響範囲を合算すると、最大で数十万件規模に達する可能性があるとされています。

このように、自社の管理外であるベンダー側のインシデントによって、自社の顧客情報が流出してしまうケースも少なくありません。クラウド時代においては「自社だけ守ればよい」という考え方は通用しなくなっています。

SaaS・PaaS・IaaSにおける責任範囲の明確化

増加し続ける情報漏洩事件において、常に問題となるのが「責任の所在」です。
クラウド利用においては、ベンダーとユーザー企業が責任を分担する「共同責任モデル」が基本となります。

ここでは「データ」「アプリケーション」「OS」「物理・インフラ」の4階層で整理します。

共同責任モデルとは

クラウドサービスでは、提供事業者と利用者の双方が責任を分担する「共同責任モデル」が採用されています。
どの範囲をどちらが担うのかはサービス形態ごとに異なるため、導入時に必ず確認する必要があります。

SaaS

SaaSは、ソフトウェアをインターネット経由で利用するサービスです。
代表例としては、Salesforce、サイボウズ、freee などが挙げられます。

SaaSでは、ユーザー企業の責任範囲は主に「データ管理」です。
そのため、不正ログインによる情報漏洩などはユーザー側の責任となるケースが一般的です。

一方で、アプリケーションからインフラまでの大部分はベンダーが管理します。
そのため、ベンダーのセキュリティレベルや運用体制の確認が極めて重要です。

PaaS

PaaSは、アプリケーション開発・実行環境を提供するサービスです。
代表例としては、Amazon Web Services、Microsoft のAzure、Google のクラウドサービスなどがあります。

PaaSでは、ユーザー企業はアプリケーション層まで責任を持つ必要があります。
ベンダー側はOSおよびインフラ層を管理します。

IaaS

IaaSは、サーバーやストレージなどのインフラを提供するサービスです。

代表例としては、Amazon Web Services、Google、IBM、Oracle などがあります。

IaaSでは、ユーザー企業が担う責任範囲はさらに広く、OSからアプリケーション、データまでを管理する必要があります。
ベンダー側の責任は物理インフラに限定されます。

弊社ではセキュリティ対策をテーマにした記事も配信しております。

【文系情シス虎の巻 第2弾】企業を守るセキュリティ対策を分かりやすく解説

情報漏洩を防ぐ３つの方法

今回記事のテーマとなっている情報漏洩ですが、どのように対策すればよいのでしょうか。

その方法を３つほどご紹介致します。

多要素認証（MFA）の導入

ID・パスワードに加え、スマートフォンや生体認証など複数要素で認証することで、不正アクセスのリスクを大幅に低減できます。
近年ではMFA未導入が原因となる侵害事例が増加しており、導入は必須レベルとなっています。

セキュリティパッチの適用

ソフトウェアの脆弱性は日々発見されています。
例えば Apache Log4j のような重大な脆弱性は、世界中で悪用されました。

ベンダーが提供する更新プログラムは速やかに適用し、既知の脆弱性を放置しないことが重要です。

適切なクラウド事業者の選定

データの保管場所や法的リスク、災害リスクも重要な判断基準です。
特にデータの所在国によっては、政府によるアクセスや法的強制力が及ぶ可能性もあります。

可用性・冗長性・コンプライアンス対応などを総合的に評価し、信頼できる事業者を選定することが求められます。

クラウドサービスにおける情報漏洩は、もはや珍しいものではありません。
重要なのは、自社の責任範囲を正しく理解し、日常的に対策を講じることです。
その積み重ねが、企業の信頼を守ることにつながります。

情報漏洩対策を支える監視サービス「パトロールクラリス」

情報漏洩を防ぐためには、日々の監視と異常の早期検知が欠かせません。

パトロールクラリスは、サーバーやネットワークの状態を24時間365日監視し、不正アクセスや異常な挙動をいち早く検知できるサービスです。

クラウド・オンプレミスを問わず一元的に管理できるため、複雑化するIT環境においても安定した運用とセキュリティ強化を実現します。

企業の重要な情報資産を守る基盤として、信頼性の高い監視体制を構築します。