クラウドがより多くの企業のアプリケーションやデータ、プロセスに広がっていくとともに、セキュリティについてもクラウド事業者に委託する可能性が出てきている。
多くの企業は、セキュリティを管理下に置くとともに、クラウド事業者に最終的な責任を押しつけないようにする必要があると考えていることが、ある業界調査によって明らかにされた。Cloud Security Alliance(CSA)は、業界の専門家241人を対象とする調査を実施し、その結果を「Top Threats to Cloud Computing--The Egregious 11」(クラウドコンピューティングにおける脅威--極悪な11項目)というレポートにまとめている。
同レポートの著者らは、2019年において最も喫緊の課題として挙げられた懸念の多くは、セキュリティの重荷をエンドユーザー企業に課すか、サービス事業者の手に委ねるかというものだったと指摘している。同レポートには、「われわれは今までによく見かけた、サービス事業者の責任に帰するクラウドセキュリティ上の課題が以前ほど重要とみなされなくなっている事実に気付いた。サービス拒否(DoS)攻撃や共有技術の脆弱性、事業者によるデータ紛失やシステムの脆弱性に対する懸念など、過去のレポート『The Treacherous 12--Top Threats to Cloud Computing+Industry Insights』(反逆の12項目--クラウドコンピューティング最大級の脅威+業界の洞察)で挙げられていた全ての項目の重要度が相対的に低くなった結果、それらは今回のレポートから除外された。こういった除外は、サービス事業者の責任に帰する、以前からあるセキュリティ上の課題が、懸念ではなくなってきているということを示唆している。そしてそれに代わって、上級管理層の意思決定の結果として、技術スタックの高位に位置するセキュリティ上の課題に取り組む必要性が高まってきている」と記されている。
このような傾向は、Forbes InsightsとVMwareが実施した最近の調査にも表れている。同調査によると、セキュリティに前向きに取り組む企業は全てをクラウド事業者に任せるという誘惑にあらがっており、セキュリティ対策の多くをクラウド事業者に任せていると回答したリーダーはわずか31%しかいなかったという(なお、筆者はこの調査の企画とレポート作成を支援した)。とは言うものの、セキュリティ上のある種の側面をクラウドサービスに任せているという回答は94%に上った。
CSAの2019年のレポートでは、現時点における11の懸念について解説されている。
#1:データ漏えい
同レポートは「データがサイバー攻撃の主な標的になってきている。データを保有、あるいは処理する組織にとって、そのデータのビジネス上の価値と、損失の影響を定義することが必須だ」と指摘した上で、「データの保護は誰がアクセス権を有しているのかという疑問につながっていく」点と、「暗号化技術はデータの保護に役立つ一方、システムのパフォーマンスに負の影響を与えるとともに、アプリケーションがユーザーフレンドリーなものではなくなる」点を書き添えている。