クラウド利用で高まる情報セキュリティリスク、その原因は？ IT担当者が身に付けるべき運用の心構え（3/3 ページ）

[高橋睦美，ITmedia]

常に「責任共有モデル」を意識し、丸投げでない運用を

　オンプレミスであろうとクラウドであろうとサイバー犯罪者には関係ない。そこにうまみのある情報があり、侵入が容易にできそうであればターゲットになる。このため、オンプレミスの世界でこれまで苦労してきたのと同様、クラウド環境においてもさまざまなセキュリティ対策が必要になる。

　プラットフォーム管理をお任せできるクラウドなのだから、「そこは事業者のほうでうまくやっておいてほしいな」と思いたくなるのも無理はない。だが、さまざまな機会で指摘されている通り、クラウドセキュリティの基本は「責任共有モデル」にあり、どちらか一方だけが頑張ればいい、というものではない。

　クラウドサービスを提供する事業者と利用者、それぞれが責任範囲を明確にして対策を講じることによってはじめて、クラウド環境のセキュリティが保たれることになる。

　責任共有モデルの中で、どのレイヤーまで責任を持つかはサービスの性質によって異なる。IaaSならばファシリティやハードウェア、ネットワークと言った基盤のセキュリティは事業者側が責任を負うが、その上で動作するOSやアプリケーション、データの保護やID・アクセス管理はユーザー企業側の責任になる。

　そしてこの原則は今後も変わらないだろう。クラウドセキュリティアライアンスは、コンテナやKubernetesといった新たな技術の広がりを踏まえ、IaaS、PaaS、SaaSの間にあるさまざまな「XaaS」も含めた新たな責任共有モデルを示している（参考ブログ）。

　最近よく「ゼロトラスト」という言葉を聞くようになった。ここにはいろいろな要素が含まれているが、柱の一つに「無条件に信頼せず、その都度、継続的に検証を行った上でリソースを利用する」という原則がある。一度検証したらOKとするのではなく、継続的に確認し、必要に応じてコントロールするという姿勢は、クラウドも含めたITシステム全体への向き合い方にも共通する事柄ではないだろうか。

　「あとは任せた」と丸投げで済ませるのではなく、常に一定の責任（面倒くささでもあるが）を引き受ける覚悟を持つことが大事だろう。