1.PaaSとして提供されるAI

社内にＦＡＱを情報として持っているとします。そして、それをベースにAIの機能を持ったPaaSを利用してChatbotを作るとします。

社内のルールで機密区分が、仮に[極秘、秘、社外秘]の３つの区分に分かれていたとしましょう。会社によって異なるとは思いますが、ＦＡＱは、おそらく社外秘のレベルでしょう。

クラウドに社内の機密情報をアップするルールが整備されている場合は、それに従いますが、明確なものがない場合は、どのように対応すべきでしょうか。

2.責任の分界について

APIとして提供されるPaaSを使って、社内システム・社外システムを構築するときの情報セキュリティについて考えてみましょう。仮想環境でもハードウェアや、ＯＳ、ミドルウェアの提供に関する情報セキュリティの責任は、PaaSの事業者にあり、アプリケーションや、FAQデータの取り扱いについては、システムを開発する利用者側に責任があります。

3.PaaS利用者の責任

PaaS利用者は、情報セキュリティについて、エンドユーザに対して、責任を負う必要があります。

クラウド事業者、今回の場合はPaaS提供者と責任を分担するという考え方に立ちます。

4.SLAや外部認証等の確認

さまざまなクラウドサービスがありますが、SLAや外部認証を公開していないものもの多くあります。

APIとして、提供されるサービスについて、その情報セキュリティがどのように担保されているかは、公開されている情報を確認しておきましょう。

■IBMクラウドセキュリティガイドブック

https://www-01.ibm.com/common/ssi/cgi-bin/ssialias?htmlfid=WUO12403JPJA

■ サービス記述書

https://www-03.ibm.com/software/sla/sladb.nsf/pdf/6605-12/$file/i126-6605-12_11-2017_ja_JP.pdf