サイバー犯罪者にとって「クラウドかオンプレミスか」よりも重要なこととは？：“正義のハッカー”に聞くリスクと対策【前編】

システムがクラウドサービスで稼働しているのか、オンプレミスのインフラで稼働しているのかを認識することはIT部門にとって重要だが、攻撃者にとっては必ずしもそうではないという。それはなぜなのか。

[大久保 心織，TechTargetジャパン]

　「自社でハードウェアを調達・運用しなくてよい」「スケーリングが容易」などのメリットを期待し、クラウドサービスを導入する企業が少なくない。新型コロナウイルス感染症（COVID-19）が世界的に流行してからは、クラウドサービスは在宅勤務などのテレワークを整える手段としても脚光を浴びている。

併せて読みたいお薦め記事

技術変革とセキュリティ

• 「クラウドの設定ミスで情報漏えい」はなぜ起こるのか？　取るべき対策は
• 「キャッシュレス」「5G」「AI」のセキュリティリスクとは？　対策を整理
• 「ゼロトラストセキュリティ」とは？　クラウドが求めたセキュリティモデル

攻撃者の意図を探る

• 企業が「ホワイトハットハッカー」を採用すべき、これだけの理由
• ハッカーの意図を読め　セキュリティ防御にCDP活用という選択肢

　他方で「機密情報を外部サーバに保管することに不安を感じる」といったセキュリティに対する懸念が、企業のクラウドサービス活用を阻んでいることも事実だ。期待した効果が得られず、いったんクラウドサービスに移行したシステムをオンプレミスに戻す「脱クラウド」「オンプレミス回帰」の選択を取る企業もある。

　システムが変われば、企業はそれに応じてセキュリティ対策を導入する必要がある――と考えるのが“常識”だ。だが攻撃者にとっては「システムがクラウドサービスで稼働しているのか、オンプレミスのインフラで稼働しているのかは重要ではない」と言い切るのは、日立ソリューションズでホワイトハッカーとして活動する米光一也氏だ。それはどういうことなのか。以下でその真意と、変化を狙った攻撃から企業ITを守るための対策を紹介する。

「攻撃者にとってクラウドかオンプレミスかは重要ではない」の真意