【正しい順序】

1. ステップ 1: 利用するサービス モデル (IaaS/PaaS/SaaS) を確認する
2. ステップ 2: プロバイダーと利用者の責任分界を把握する
3. ステップ 3: 利用者責任 (データ・ID・アクセス) を特定する
4. ステップ 4: 利用者責任の範囲に統制を適用する

【各ステップの理由】

• ステップ 1 利用するサービス モデル (IaaS/PaaS/SaaS) を確認する: モデルにより責任範囲が変わります。
• ステップ 2 プロバイダーと利用者の責任分界を把握する: どこまでが誰の責任かを把握します。
• ステップ 3 利用者責任 (データ・ID・アクセス) を特定する: 常に残る利用者責任を特定します。
• ステップ 4 利用者責任の範囲に統制を適用する: 特定した範囲に対策を講じます。

【誤った順序の問題点】

• 責任分界を把握せず統制する: どこが自分の責任か不明では適切に守れません。
• モデル確認前に責任を特定する: モデルにより責任が変わるため先に確認が必要です。

【参考】

責任共有の整理