　シンガポールサイバーセキュリティ庁は2022年3月29日、「サイバーセキュリティ法」（2018年3月2日施行、関連情報）に準拠した新しいサイバーセキュリティ認証プログラムとして、中堅中小企業（SMB）などのクラウドユーザーを対象とした「サイバーエッセンシャルズマーク」と、多国籍企業（MNC）などの大企業やクラウドサービスプロバイダーを対象とした「サイバートラストマーク」を発表した（関連情報）。これらの認証制度は、特定の製品／サービスのサイバーセキュリティを認証するのではなく、組織レベルで採用されたサイバーセキュリティ管理策を認証する仕組みをめざすものだ。

　その後2023年10月17日、シンガポールサイバーセキュリティ庁とクラウドセキュリティアライアンスは、「サイバーエッセンシャルズ」および「サイバートラスト」をサポートするツールとして、「クラウドセキュリティコンパニオンガイド」を構築したことを発表した。（関連情報）。このコンパニオンガイドは、「サイバーエッセンシャルズマーク：クラウドセキュリティコンパニオンガイド」および「サイバートラストマーク：クラウドセキュリティコンパニオンガイド」から構成されている。

　「クラウドセキュリティコンパニオンガイド」のサイバーセキュリティ対応準備ドメインは、クラウドセキュリティアライアンスのCCMv4コントロール項目（関連情報）とマッピングされており、CCMを介して、AWS（関連情報）、グーグルクラウド（関連情報）、マイクロソフト（関連情報）、ファーウェイクラウド（関連情報）、アリババクラウド（関連情報）など、主要メガクラウドサービス事業者が公開しているセキュリティ管理策を参照することができる。

　まず図1は、組織がクラウドに移行する際の重要なシフトと課題を示したものである。

図1　組織がクラウドに移行する際の重要なシフトと課題［クリックで拡大］出所：Cyber Security Agency of Singapore 「Cloud Security for Organisations」（2025年1月20日更新）を基にヘルスケアクラウド研究会作成

　企業におけるクラウド採用は拡大しているが、それに合わせて組織（クラウドユーザー）とクラウドプロバイダーの責任にシフトが起きている。このような変化は、組織上で対応するサイバーセキュリティ、ビジネスユーザーが利用するSaaSに影響をもたらすとしている。

　医療機器業界では、クラウドインフラストラクチャプロバイダーのプラットフォームを利用して、医療機関／患者向けのSaMD（Software as a Medical Device）や一般消費者向けのNon-SaMDをSaaS型で提供するケースが増えている。SaMD／Non-SaMD事業者は、製品開発ライフサイクルの初期段階で、クラウドの責任共有モデルにおけるSaaSユーザー、SaaSプロバイダー、クラウドインフラストラクチャプロバイダーの関係を明確にした上で、全体的なアーキテクチャを設計し、文書化しておく必要がある。

クラウド責任共有モデルに着目したスタートアップ向けセキュリティガイド

　　　　　　 1|2|3|4 次のページへ