セキュリティの観点から見た、クラウドコンピューティングサービスの利用と社内でのITシステム運用の優劣について、議論が交わされている。
クラウド支持派は、大手クラウド企業が数百人から時には数千人のセキュリティスタッフや、相当な時間、資金を投入して、システムを最新の状態に維持している点を指摘する。これに対し通常の企業では、少数のセキュリティスタッフで幅広いシステムに対応する必要がある上、その多くは古く、中には完全に安全性を保つことが難しいものもある。しかし一部の企業は、情報が他国のデータセンターに置かれる可能性もあるクラウドを信頼して重要なデータを預けるよりも、自社で守った方が安全だと感じている。
倫理的ハッカーであり、侵入テストの専門家であるJamie Woodruff氏によれば、システムがどれだけ安全でも、常に人間が弱点になり得るという。
同氏はあるとき、顧客から侵入テストの依頼を受けた。侵入テストとは、企業のシステムの安全性を評価するために、実際に侵入を試みることだ。
同氏はソーシャルメディアでシステム管理者の1人を特定し、その後、過去のハッキングでオンラインに流出した情報の中から、その管理者の電子メールと結びつくパスワードを見つけ出した。そのシステム管理者は、すべてのオンラインアカウントで同じパスワードを使い続けていたため(ハッキングを受けた後も、1つも変更されていなかった)、Woodruff氏はこのパスワードを使って、そのスタッフが利用しているクラウドサービスに侵入することができた。
「クラウドそのものには脆弱性はなかった。クラウドを調べて、ツールを使ってテストをしてみたが、最新の状態だった。しかし、特定の個人がそのセキュリティを台無しにした。2要素認証も使われておらず、わたしはシステムへのアクセスを得ることができた。それでテストは終わりだった。テクノロジが安全なのは結構なことだが、それを利用している人間は必ずしも安全ではない」(Woodruff氏)
この種の攻撃に対しては、ウェブインターフェースを持つクラウドシステムの方が弱く、ウェブインターフェースのない古い社内システムしかない企業の方が、むしろ攻撃が難しい場合もある。情報の隠蔽によるセキュリティの考え方だ。
Woodruff氏は、不満のある従業員や怠慢な従業員は、システムをハッキングするよりも、ソーシャルエンジニアリングを利用しようとする攻撃者の標的になる可能性があると話す。
「店のレジを通るときのことを考えてみて欲しい。『私どもはレジ袋を提供していません』ではなく、『この店は』と言う店員がいるだろう。このような言い方をするのは、自分と会社の間に距離を感じているためだ」と同氏は説明する。「この店員は無意識にその組織にいたくないと考えており、攻撃に悪用される可能性がある」
