総務省公表 令和2年版 情報通信白書によれば、クラウドサービスを利用している企業の割合は 64.7％と5年前と比較して25％近く増えており、クラウドコンピューティングが既に広く社会一般に浸透してきています。
一方で、クラウドを利用していない企業の理由で一番多いのは「必要が無い」、その次に「セキュリティに不安がある」が31.8%を占めており、今もなおセキュリティ面を不安視する人が多い現状が浮かびました。
そこで今回は、クラウドの利用とセキュリティというテーマについて考えました。

まず確認。情報セキュリティってなんだっけ？

「情報セキュリティ」の言葉の意味について、管理の規範をまとめたJIS Q 27002や、経済産業省のWebサイトなどに、
概ね以下のように定義されています。
"企業の情報システムを取り巻くさまざまな脅威から、情報資産を機密性・完全性・可用性の確保を行いつつ、正常に維持すること"

これはつまり、
●利用者が持っている情報資産のそれぞれについて
●機密性・完全性・可用性（情報セキュリティの三大要件）確保のため
●利用者の企業で定めた情報セキュリティポリシーに基づき
●脅威の洗い出しと脆弱性を判定してリスク分析・評価を行い
●リスクに応じた対策を実施する(対策しない選択も含む)
といった事項を指しています。つまり情報セキュリティは、情報資産を持つ利用者自身が維持管理すべきものになる訳です。

クラウド利用時にセキュリティが心配になる訳

このことを踏まえると、なぜクラウド利用時にセキュリティが心配になるかのロジックが読み取れます。
つまり、クラウドを利用するということは、SaaS/PaaS/IaaSによってレイヤは分かれるものの、ある領域については事業者のサービス仕様に委ねることになるため、利用者自身で情報セキュリティ管理ができないという点を心配する、ということです。

しかし、「自社で管理すべき領域の一部が、事業者のサービス仕様に委ねられる」という状況とは、クラウド利用だけに限ったことでしょうか？答えはノーですよね。このことはASPサービスやデータセンターサービスなどを含む、あらゆるアウトソーシングサービスでも言えることです。

クラウドへの不安を取り除くには

今や規模の大小に限らず、アウトソーシングサービスを利用する機会は企業にとって当たり前となっているのに、ではなぜクラウドだけが「セキュリティが心配」と取り上げられるのでしょうか？
恐らくクラウド＝雲という言葉からは、どうしても「モクモクとしたよく分からなさ＝不安」が想起されてしまうことにあるのではないでしょうか。
したがって、そのモクモクを取り払ってしまえばすっきりするはずです。

クラウド利用時の不安を取り除くためには、クラウド利用におけるセキュリティ対策といっても、クラウド事業者がセキュリティ対策するべき個所と、利用者がセキュリティ対策するべき個所が分かれていることを、まず理解することが近道です。

サービス事業者と利用者それぞれのセキュリティ考慮箇所

まずクラウド上に展開されたあるシステムのレイヤ構成を考えてみましょう。一般的には以下のようになります。

①保存されるデータ
②アプリケーション
③ミドルウェア
④OS
⑤仮想化ハイパーバイザ
⑥インフラ機器
⑦データセンターファシリティ
※この他に、クラウドではサービスの管理ポータルにアクセスするWebサービスがあります。これを⓪管理ポータルとしましょう。

利用者が管理する部分 ▷⓪のID／パスワード、①②③④

この部分は、利用者が管理する部分になります。
※アウトソーシングにより、業務委託を個別契約した場合を除きます。

サービス事業者が管理する（責任を持つ）部分 ▷⓪のインフラ部分、⑤⑥⑦

この部分は、クラウドサービスを提供する事業者がサービス提供に支障が発生しないような運用管理体制、SCSKの提供する USiZEで言えば、堅牢なデータセンターファシリティの使用や、冗長化構成を備えたシステム構成、24時間365日のインフラ障害対応 などによりサービスの提供品質を維持しています。

言い換えれば、利用者はこの部分の運用を気にせずシステムを利用できるので、自社設置のオンプレミスに比べて運用負担が大きく 軽減します。（これはクラウド利用メリットの1つですね）

つまり、クラウド化したからと言って、利用者がセキュリティ対策から全て解放されるわけでもなく、逆に全て事業者に依存してしまう訳でもないのです。これは、クラウド利用におけるいわゆるインフラレイヤに関する内容ですが、考え方自体はSaaSなども一緒で、その範囲が異なるだけです。

【まとめ】"クラウドのセキュリティが不安"の「不安」を分解整理しよう

前項を理解すると、「クラウドのセキュリティが心配」な時は、
●心配な箇所はどのレイヤか？
●具体的な心配はそのレイヤがどうなる(どうである)ことか？
という具合に、心配内容を具体化することで、それが事業者の管理部分であればサービス仕様を確認、利用者の管理部分であればオプションサービスの利用などを検討、といった整理ができるのです。
利用者視点からまとめると、このような感じです。

①インフラ部分の管理は、セキュリティ対応含めてクラウド事業者に任せられる。
一方で、ここは利用者側ではコントロールできない部分とも言えるので、内容についてはサービス仕様等により確認する。

②アプリケーションのセキュリティ対策など、自社で管理すべき部分については、クラウドサービスがオプション提供している
セキュリティサービスの利用を視野に入れると、ゼロから考慮する手間が省ける。

システムによって、必要なセキュリティ対策の種類・レベルは異なります。自社のシステムがどのようなレベルの対策が必要であるのかを見極めることが、安全面はもちろん過剰なコストをかけないという意味でも必要です。

SCSK外部からの脅威といったセキュリティ対策ソリューションはもちろん、セキュリティリスクとなりうるシャドウITを防ぐための利用ガイドラインの策定や自動復旧ツールなども用意しています。
セキュリティに懸念がある方は、お気軽にSCSKにご相談ください！