「クラウドを理解していない承認者」が生むセキュリティリスクと解消方法：人的要因が招くクラウドのリスク【後編】

クラウド利用時には常に人的要因というセキュリティの脅威が伴う。それを克服するために大切なポイントを紹介しよう。

[Kevin Beaver，TechTarget]

　前編「クラウドセキュリティの“最大の敵”が『人』である理由」は、企業がクラウドを利用する場合のセキュリティについて、人的要因によって生じるリスクを取り上げた。後編は、組織の体制にまつわるクラウドセキュリティのリスクや、それらを解消するためのポイントを説明する。

おざなりなクラウド推進がはらむリスク

　クラウドは確立された技術であり、安全なように思える。だがインターネットを介して何者かが攻撃を仕掛ける恐れがあり、ユーザー企業がそのことに気付かない場合もある。特にクラウドベンダーが、脅威の検出と対処のために必要な可視性や制御性を用意していない場合はなおさらだ。

　「強固なセキュリティ」を強調しているクラウドベンダーでも、暗号化通信プロトコルのTLSによる暗号化とファイアウォールによる保護しかなく、重要なアプリケーション層の保護機能を提供していないことがある。内部システムとクラウドサービスを連携させることによるセキュリティの課題も存在する。そのようなクラウドベンダーのサービスは、アクセスを制限し、規模の小さいネットワークで運用していても、悪意のある内部関係者やマルウェアなどの脅威が付きまとう。

　クラウドの選定に当たって、依然として紙のチェックリストを使い、全ての項目がチェック済みにもかかわらず、責任者の承認だけを待っている状況が発生している組織もあるだろう。詳細を知らない責任者が取りあえず承認しなければ何も始まらないという状況だ。この場合、「クラウドに移行すれば全てうまくいく」という前提で事務処理が進められる。こうしたおざなりなクラウド推進体制は、人が招くセキュリティリスクだ。

併せて読みたいお薦め記事

クラウドセキュリティと人的要因

• クラウドセキュリティ、最大のリスクは「人のうっかりミス」
• 最大のリスクは「ユーザー」と「GDPR」　専門家が語るクラウドセキュリティの危機
• クラウド型セキュリティサービスの価値を、「従業員任せにした最悪の事態」から考える

さまざまなクラウドのリスク

• クラウドの脆弱性に潜む9つの脅威、対策は？
• パブリッククラウドならではの「障害対策」「従量課金」「セキュリティ」とは

クラウドベンダーをどこまで信じるか

　クラウドセキュリティの課題を克服するために、覚えておくべきことは何だろうか。