「クラウド責任共有モデル」の知識、アップデートできてる？：一から考えるパブリッククラウドセキュリティ（1）

何かと小難しいパブリッククラウドのセキュリティを、やさしく解説する新連載。第1回は、クラウドの責任共有モデルについて、あらためて考えます。分かった気になりがちですが、実は奥が深いんです。

[佐古伸晃，野村総合研究所]

　一般企業によるクラウドサービスの利用は一般的になり、かつての「クラウドサービスは安全なのか？」といった議論は、今では「いかに安全にクラウドサービスを使うか」に主軸を移しています。高度な統制やリソースコントロールが必要とされる場面以外では、クラウドサービスの利用が最初の検討選択肢となっており、クラウドファーストは定着したといっても過言ではないでしょう。

　政府情報システムのためのセキュリティ評価制度（ISMAP：Information system Security Management and Assessment Program）の拡充も進み、さまざまなクラウドサービスが政府調達の要件を満たすリストに並んでいます。

　とはいえ、クラウドサービスの利用が一般化するにつれて、クラウドサービスにおける情報セキュリティ障害（インシデント）も増えています。情報処理推進機構（IPA）が公開した「コンピュータウイルス・ 不正アクセスの届出状況」（2023）（PDF）では、原因の第1位は｢古いバージョンの利用や修正プログラム・必要なプラグイン等の未導入によるもの｣、次いで「設定の不備」「ID、パスワード管理の不備」となっています。いずれもクラウドサービス「事業者」側の過失ではなく、クラウドサービスの「利用者」側の誤った使い方や設定に起因しています。

　CSA（Cloud Security Alliance）が数年に一度公開している「CSA Top Threats」でも、サービス事業者側のみに起因する脅威はここ数年ランクインしておらず、利用者側に起因する脅威が増加しています。

　これは、クラウドサービスの利用が拡大するにつれ、クラウドサービス側の対策が進んでより強固になっていく一方、利用者側の裾野も広がってクラウドサービスの仕様が十分理解されないまま利用されている実態を反映していると思われます。また、クラウドサービスが高度化・複雑化するにつれ、複数のサービスを組み合わせた場合に想定外の接続許可をしてしまったり、脆弱（ぜいじゃく）なサービスから攻撃されて横移動で侵入される事例なども報告されています。

クラウドサービスは安全になったのに、なぜ脅威はなくならないのか？

　従来のオンプレミス環境では、アプリケーション、サーバ、ネットワーク（LAN、インターネット接続）がそれぞれ物理的な構成で分離され、別担当ということがよくあります。システムをインターネット公開するには複数の担当の承認・作業が必要で、すぐにできるものではありません。ある意味、多層防御が効いている状態です。