責任共有モデルとは、クラウドサービスを利用するうえで、コンポーネントごとに、クラウド事業者と利用する企業のどちらが責任を持つべきかを示したものです。
クラウドサービスによって詳細は異なる場合もありますが、「管理主体が責任を持つ」という原則のもと、以下の表のような分担になっています。オンプレミスの場合は利用者が全責任を負いますが、IaaS(Infrastructure as a Service)、PaaS(Platform as a Service)、SaaS(Software as a Service)になるにつれ、徐々にクラウド事業者の責任範囲となるものが増えています。
セキュリティ管理についても、このモデルに基づいて、どちらが責任を負うかが決まります。利用者側でセキュリティ施策・管理するにあたり、SaaSの場合はCASB(Cloud Access Security Broker)と呼ばれるソリューションを導入することが増えています。また、IaaSやPaaS上にシステムを構築する場合は、CSPM(Cloud Security Posture Management)とCWPP (Cloud Workload Protection Platform)を導入する動きが広がっています。