Posted: 18 Mar. 2021 3 min. read

第7回:クラウド、業者任せは不可

シリーズ:DX時代のサイバー対策

急速に変化する事業環境へ迅速に対応するDX(デジタルトランスフォーメーション)を背景に、日本企業のクラウドシフトが進んでいる。クラウドサービスは利用企業からのフィードバックで改善が図られ、当初懸念の声があったセキュリティーも大手での採用実績の増加とともに不安が払拭されつつある。だが、企業ITをクラウドに移すだけでは企業のセキュリティー課題は解決しない。利用企業はどうすべきなのか、改めてまとめてみたい。

 

まず押さえておきたいのが、責任の所在の在り方だ。クラウドの世界では、クラウド事業者と利用企業にはおのおのセキュリティーの責任があり、すべてをクラウド事業者に転嫁できるわけではない。「責任共有モデル」と呼ぶこの仕組みを考慮せず、安易にクラウドシフトをした結果、逆に運用コストが増加し、もくろんでいたクラウドの経済性を享受できなかったという声も聞かれる。

 

では、こうならないためには利用企業は具体的に何をしたらよいのだろうか。管理面と技術面から整理してみよう。

 

管理面では、クラウド利用企業としての社内ルールの整備が必要だ。クラウド活用を進めると、現行の社内規定では対処できないケースが出てくる。たとえば、「機密情報は自社サーバーで管理する」という規定の下では、クラウドは利用不可となってしまう。クラウドを前提としたルールの再定義が急務である。

 

技術面では、クラウドの提供するセキュリティー機能を適切に活用することが重要だ。クラウドでは豊富なセキュリティー機能をオンデマンドで利用できるが、利用者が適切に設定しなければこのメリットを享受できない。

 

最近のクラウドに関係したインシデント(事故につながる恐れのある事態)の多くが人為的な設定ミスに起因すると言われており、専門人材の育成が急務である。クラウドセキュリティーは新分野で専門家も少ないことから、「センターオブエクセレンス(CoE)」と呼ぶ社内横断の支援組織を立ち上げるのも効果的だ。

 

総務省が8月に発表した2020年版の「情報通信白書」によると、2019年時点で64.7%の企業がクラウドを利用しており、この数字は年々増加している。クラウドシフトによる企業ITのパラダイムシフトが起こる中、セキュリティーリスク管理にも大きな変革が求められる。

※クリックかタップで拡大画像をご覧いただけます

本稿は2020年12月21日に日経産業新聞に掲載された「戦略フォーサイト:DX時代のサイバー対策(8)クラウド、業者任せは不可」を一部改訂したものです。

D-NNOVATIONスペシャルサイト

社会課題の解決に向けたプロフェッショナルたちの物語や視点を発信しています

プロフェッショナル

石井 友貴/Tomoki Ishii

石井 友貴/Tomoki Ishii

デロイト トーマツ サイバー合同会社 マネージングディレクター

外資系ソフトウェアベンダー、大手システムインテグレータを経て2013年に有限責任監査法人トーマツに入社。2019年よりデロイト トーマツ サイバー合同会社のディレクターに就任。 ITおよびIoT領域におけるセキュリティバイデザイン(Security by Design)、サービス開発の超上流工程におけるセキュリティ構想策定、PCI DSS等の各種規制・ガイドラインに基づくセキュリティ要件定義が専門。主に製造業、金融業を対象にサイバーセキュリティ関連コンサルティングを提供。