クラウドセキュリティは、利用するサービス形態の責任共有モデルを踏まえたうえで必要な対策を講じていくことになります。
例えば、オンプレミス環境で保守・運用していたアプリケーションやデータをそのままクラウド事業者のIaaS環境へ移行する場合、オンプレミス環境で具備されているセキュリティ対策も考慮して、移行先のクラウド環境において必要なセキュリティ機能を特定しクラウドセキュリティのアーキテクチャを明確にしたうえで、クラウド環境に確実に組み込まなければいけません。
また、オンプレミス環境の業務システムとクラウド事業者のIaaS、オフィス系SaaSを組み合わせて利用する場合、オンプレミス環境を含むハイブリッドクラウドをセキュアに利用するためのガバナンスと運用プロセス・ルールを構築するとともに、オンプレミス環境とクラウド環境横断的なアクセス制御や、セキュアかつ効率的にアクセスするためのネットワークインフラを整備します。
さらに、特定のクラウド事業者やサービス形態に拠らず、要件に合ったクラウドサービスを活用するマルチクラウド、コンテナやサーバーレスなどの技術を使ったクラウドネイティブの場合は、多種多様なクラウドサービスを利用しても適切なセキュリティ管理・運用が実行でき、その状況のモニタリングを通じて継続に改善が実施できるようセキュリティガバナンスを構築します。クラウドサービスやクラウド技術の変化に合わせてクラウドセキュリティを確保できる仕組みにすることが必要になります。
このようにそれぞれのユースケースによって講じるべきセキュリティ対策は異なりますが、クラウドで取り扱うデータの保護、クラウド環境へのアクセス制御、クラウド上のアプリケーションのセキュリティ確保など幅広い領域でのセキュリティ対策を、直面する脅威やリスクを把握した上で実施していくことが求められます。また、それら対策を単に導入すればよいわけではなく、対策の有効性を維持、向上するためのガバナンス、およびその状況を把握するためのモニタリングといったセキュリティ運用が、対策の土台となることを忘れてはなりません。化学業界のある企業では、オンプレミス環境からクラウド環境への大規模な移行に際して、セキュリティガバナンスおよびセキュリティ運用の見直しと同時に、クラウド環境をセキュアに利用するためのネットワークセキュリティ対策やクラウド利用状況のモニタリングのための製品を導入することで、クラウドセキュリティの有効性、効率性を高めながらクラウド利活用を推進することに成功しました。
