いま企業のITシステムにおいてクラウドの導入が急速に進んでいる。そして、企業がクラウド全般を容易にこなせるようになるにつれ、サービスとしてのインフラストラクチャとプラットフォーム(IaaS および PaaS)モードはさらに急速に成長しています。このような急激な企業IT基盤の進化により、企業コードとデータがクラウドに常駐するようになると、それをどのように保護するのが最善かという問題が生じる。ここで最初に考えるのがクラウドサービスプロバイダーが、そのサービスの中で提供する、例えばIDおよびアクセス管理(IAM)、暗号化、キー管理などのかなりの量のセキュリティ機能といった「ビルトイン」セキュリティ機能の活用。そしてもう一つが、次世代ファイアウォール(NGFW)、侵入検出/防止システム(IDPS)、特権アクセス管理(PAM)、クラウドアクセス許可管理(CPM)など、CSP自体では利用できない機能を中心に展開されているサードパーティの専業サイバーセキュリティ・ベンダーが提供する、「ボルトオン」セキュリティだ。企業は、「ビルトイン」セキュリティ技術と比較して、「ボルトオン」セキュリティ技術の価値をどのように評価すればよいのか。そして「ボルトオン」オプションと比較して「ビルトイン」を活用することの運用上の利点はなにか?本資料では、特にOracle Cloud Infrastructure(OCI)を例にあげ、「ビルトイン」と「ボルトオン」の両方の長所と短所を整理。どちらを選べば良いのかという質問に対処することを目的としている。さらにサービスにデフォルトとして含まれているセキュリティテクノロジーと、市場に出回っている専用のセキュリティベンダーが提供するものの比較なども記されている。