OSやミドルウェアのセキュリティパッチ適用責任について正しい記述はどれか？

IaaS型クラウドでは仮想マシン以上のレイヤー、すなわちゲストOSやアプリケーションは利用者責任領域に含まれる。オンプレミスも同様にOSやDBのパッチは自社で検証し計画停止のうえ適用する必要がある。クラウド側が管理するのはハイパーバイザや物理ホストまでで、それより上位はShared Responsibility Modelの顧客側責任に該当する。したがってオンプレとIaaSクラウドでは利用者が能動的にパッチ運用を担う点で共通している。