クラウド・セキュリティに欠かせない、3つの柱とは

　ガートナーでは国内企業を対象としたユーザー調査を実施し、「クラウドのセキュリティをどの程度理解していますか？」と尋ねてみた。この結果、「十分に理解している」という回答を得られたのは12％のみで、残りの88％は何らかの不安を抱えていることが明らかになった。

　また54.8％の企業が「ある程度は理解しているが、全体として整理できているかは分からない」と回答した。つまり半数以上の企業において、クラウド・セキュリティに対する定義ができていないことになる。

　クラウド・セキュリティがなぜ重要なのか、ガートナーでは「クラウド・セキュリティとは、クラウド環境へのアクセスを制御し、クラウド環境のデータを保護するために必要なプロセスとテクノロジーである」と定義している。そこには大きく3つの柱がある。

　第1は「プロバイダーのリスク評価」だ。クラウドの特徴は他社とシステムや処理を共有する点にあり、どんなセキュリティ機能を提供しているのかもさまざまだ。したがってクラウドを利用する前に、そこにどんなリスクが存在するのかを把握しておく必要がある。

　第2は「ワークロードの保護」である。いまや企業が利用するクラウドは１つだけに限らない。セキュリティの機能もレベルも異なるそれぞれのクラウドに対して、だれがどのような責任を負うのかを見極めておく必要がある。

　そして第3が「データの保護」だ。クラウドのセキュリティ機能はプロバイダーに依存しているため、強化したくてもできない場合がある。ただし、あきらめてしまう前に他の手立てがないのか十分に確認することが必要だ。もし、よりよい選択肢が存在するのであれば、それをきちんと実装すべきである。

　このようにクラウド・セキュリティでは、従来のオンプレミスのセキュリティではなかった取り組みが求められるのである。

クラウドのセキュリティ・リスクは大きいのか？

　クラウド・セキュリティのために押さえておくべきポイントは何か――。よくある“誤解”にフォーカスしながら順に解き明かしていきたい。

　まずは「クラウドのセキュリティ・リスクは大きい」という誤解である。ここでの最大の問題は、クラウドという言葉で一括りにしてすべてのセキュリティを議論してしまっていることだ。的確なプロバイダーの選択とセキュリティ機能の活用により、リスクを最小限に抑制することができるのである。

　クラウド・プロバイダーは規模や実績によって大きく3つの層に分類される。Amazon Web Services（AWS）、Google Cloud Platform（GCP）、Microsoft AzureなどのTier 1、その他の大手ソフトウェア・プロバイダーや中規模プロバーダーのTier 2、小規模プロバイダーのTier3である。

　Tier1については主要なセキュリティ機能を実装するほかオプションも用意されており、これらの機能を適切に使いこなしさえすればセキュリティを過度に器具する必要はない。

　逆にTier3については「セキュアではない」ことを前提に、そのリスクを受容できるかできないかを評価すべきである。財務面も安定しているとは限らず、将来的に機能やサービスが打ち切られる可能性も考慮しておいたほうがよい。

　おそらく一番判断に迷うのがTier2だろう。この層のプロバイダーが提供するクラウド・サービスは業務上重要なアプリケーションとして利用されており、他に代替手段がないケースも多い。セキュリティ・リスクをユーザー自身がしっかり評価する必要がある。

　具体的に各プロバイダーのセキュリティ・リスクを評価する方法としてはオンサイト評価、第三者評価、質問票の3つが代表的だ。


　まずプロバイダーが第三者評価を取得している場合には、その内容を積極的に活用すべきである。第三者評価がない場合に選択するのが質問票で、各業界の監督官庁などが公開しているガイドラインを標準の質問として活用するとよい。

【次ページ】クラウド・セキュリティにまつわる6つの「誤解」