クラウドコンピューティングは便利になったが、問題がなくなったわけではない。クラウドアプリケーションのサイバーセキュリティ計画に不備があり、たとえば単純なパスワードを使用できるようにしている場合や、多要素認証を使用しない場合、パッチやアップデートを適用しない場合は、攻撃に対して無防備になるおそれがある。
サイバーセキュリティの管理は、以前から多くの企業とその経営陣にとっての課題だった。そこにクラウドが加わったことで、多くの企業において、脅威にさらされる可能性のある領域が広がり、複雑さが増している。
これが特に当てはまるのは、クラウドサービスに関して自社のサイバーセキュリティの責任を認識さえしていないような企業だ。
「いったん設定したら忘れていい、と考えていそうな企業をいまだに見かけることがある」。ケント大学のサイバーセキュリティの准教授であるJason Nurse氏はこのように述べた。
「クラウドを使えばセキュリティとデータ保護に関するすべての責任を移譲できる、という考えの企業が多いのが実情だ」(Nurse氏)
しかし、これらの企業は今も多くの責任を負っており、適切な環境を整えて、クラウドを正しく設定し、きちんと保護されていないデータが「徘徊する」のを防ぐために、対策を実施しなければならない、と同氏は指摘する。
クラウドサービスの設定と保護に対する理解が不十分だと、機密情報が公開されたままになるおそれがある。さらには、オープンインターネットに直接公開されて、悪意あるサイバー犯罪者を含むあらゆる人の目に触れることにもなりかねない。
これは単なる理論上の問題ではなく、クラウド環境の設定ミスによって機密情報が公開されてしまう事例が頻繁に発覚している。
「企業はクラウド環境を完全には理解していない。専門知識とスキルセットが不足しているため、一連の適切なセキュリティ制御を特定して実施し、クラウド運用を保護するのは難しい」。こう語るのは、PwCでサイバーセキュリティ、リスク、規制慣行のプリンシパルを務めるPrakash Venkata氏だ。
「クラウドセキュリティを完全に無視しているように思える企業もある。その原因として考えられるのは、理解不足、スキルと専門知識の欠如、企業イニシアチブの競合に起因する時間的な制約、主要ツールに投資する予算の制約などだ」
しかし、クラウドセキュリティは無視してよいものではない。クラウドのアプリケーションやサーバーを使用しているなら、セキュリティ対策は必須だ。何と言っても、サイバー犯罪者やその他の悪意あるハッカーは、保護が不十分なサービスがないか目を光らせて、それを悪用して比較的少ない労力でネットワークにアクセスしようとしている。
