本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。
今回は、本格的に活用されて久しいクラウドについて述べたい。「クラウド元年」と呼ばれたのは2010年のことであり、今さらクラウドについて言及することは、ZDNet Japan読者の皆さんには、殊更の意義を感じないかもしれない。しかし、2020年末から著名なクラウドサービスにおいてユーザーの情報へ意図せず外部からアクセスされてしまう状況が相次いでいる。「クラウドはセキュリティが心配」と盲目的に騒ぐ人もそろそろ少なくなっており、システムがクラウドであることが当たり前になった今こそ、その根幹の課題としてこのテーマを取り扱ってみたい。
「設定ミス vs 脆弱性」--見解の違い
冒頭で述べたクラウドサービスのユーザーで起きた事件について筆者は、正直どちらが一方的に悪いというスタンスを取らないようにしている。一般に知られている情報が全て真実かどうか分からないのと、そのことが明確に法令や倫理に反するものでない限りは、どちらに非があるとは断言しにくいからである。
この問題はユーザー側にとって、クラウドサービス事業者側のシステム要件の不備や脆弱性と捉えられることが多かった。しかし、クラウドサービス事業者側は、事前に仕様や要件が変わる旨のアナウンスなどをしており、ユーザーの設定不備に起因して外部からアクセスできる状態であったに過ぎないと主張している。筆者の周囲には、本件に深く関係した方も少なからず居る。個人的にはユーザー側の主張に肩入れしたい気持ちだが、客観的には両者の認識の相違は平行線を続けるだろう。
筆者は、IT業界に20年以上身を置くベンダー側の人間であり、類似の事案を体験したことがある。そこで思うのは、システムにバグや隠れた不具合はつき物という前提はあるが、何か問題があった場合に、それを生業としている事業者としてできる限り誠実に対応するべきだという一点だ。個人的には、もう少し事業者側がユーザー側に歩み寄ってくれれば、今回のような報道で取り上げられるような騒動にならなかったと思われる。
たとえ双方ができる限り誠実に対応しても、見解の違いを全て取り去るのは難しく、主張が異なることは、今後も続くだろう。双方の間には、実にさまざまな事象が発生し、その一つ一つに白黒を付けるのは至難だからである。