企業セキュリティの歩き方

クラウドサービス利用で考えること--クラウド前提の基礎的理解

武田一城

2021-05-19 06:00

 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。

 今回は、本格的に活用されて久しいクラウドについて述べたい。「クラウド元年」と呼ばれたのは2010年のことであり、今さらクラウドについて言及することは、ZDNet Japan読者の皆さんには、殊更の意義を感じないかもしれない。しかし、2020年末から著名なクラウドサービスにおいてユーザーの情報へ意図せず外部からアクセスされてしまう状況が相次いでいる。「クラウドはセキュリティが心配」と盲目的に騒ぐ人もそろそろ少なくなっており、システムがクラウドであることが当たり前になった今こそ、その根幹の課題としてこのテーマを取り扱ってみたい。

「設定ミス vs 脆弱性」--見解の違い

 冒頭で述べたクラウドサービスのユーザーで起きた事件について筆者は、正直どちらが一方的に悪いというスタンスを取らないようにしている。一般に知られている情報が全て真実かどうか分からないのと、そのことが明確に法令や倫理に反するものでない限りは、どちらに非があるとは断言しにくいからである。

 この問題はユーザー側にとって、クラウドサービス事業者側のシステム要件の不備や脆弱性と捉えられることが多かった。しかし、クラウドサービス事業者側は、事前に仕様や要件が変わる旨のアナウンスなどをしており、ユーザーの設定不備に起因して外部からアクセスできる状態であったに過ぎないと主張している。筆者の周囲には、本件に深く関係した方も少なからず居る。個人的にはユーザー側の主張に肩入れしたい気持ちだが、客観的には両者の認識の相違は平行線を続けるだろう。

 筆者は、IT業界に20年以上身を置くベンダー側の人間であり、類似の事案を体験したことがある。そこで思うのは、システムにバグや隠れた不具合はつき物という前提はあるが、何か問題があった場合に、それを生業としている事業者としてできる限り誠実に対応するべきだという一点だ。個人的には、もう少し事業者側がユーザー側に歩み寄ってくれれば、今回のような報道で取り上げられるような騒動にならなかったと思われる。

 たとえ双方ができる限り誠実に対応しても、見解の違いを全て取り去るのは難しく、主張が異なることは、今後も続くだろう。双方の間には、実にさまざまな事象が発生し、その一つ一つに白黒を付けるのは至難だからである。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  4. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

  5. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]