Microsoft 365、Google Workspace、AWS、Azure、Salesforce、Box、Slackなど、現在の企業活動はクラウドサービスなしでは成り立たなくなっています。ファイル共有、メール、会計、営業管理、開発環境、バックアップ、顧客管理まで、重要な業務データの多くがクラウド上で扱われています。
一方で、「クラウドは大手事業者が守ってくれるから安全」と考えるのは危険です。クラウドには、事業者が守る範囲と、利用者である企業が守る範囲があります。アカウント管理、アクセス権限、データ共有設定、ログ監視、バックアップ、従業員教育などは、自社側で対応しなければなりません。
この記事では、クラウドセキュリティの基本、責任共有モデル、主なリスク、実施すべき対策、関連サービスや認証基準まで、実務担当者が社内説明にも使える形で解説します。
なお、CyberCrewでは、AWS、Azure、GCPなどのクラウド環境に特化したクラウドペネトレーションテストを提供しています。企業が利用するクラウド基盤に対して、実際の攻撃者を模した手法で脆弱性を検出し、重要なデータ資産の保 護を支援します。ホワイトハッカーを擁するCyberCrewが、お客様のクラウドアカウント設定、アクセス権限、ストレージ構成、アプリケーション設定などを総合的に分析し、改善提案を行います。まずは無料でご相談ください。
TABLE OF CONTENTS
クラウドセキュリティとは
クラウドセキュリティとは、クラウド上に保存・処理される情報やシステムを、不正アクセス、情報漏えい、設定ミス、マルウェア、内部不正、障害などのリスクから守るための取り組みです。
オンプレミス時代は、サーバーやネットワーク機器を自社で保有し、自社の管理範囲内で守ることが中心でした。しかしクラウドでは、インフラの一部を事業者が管理し、利用者はアカウント、データ、設定、アプリケーション、利用ルールを管理します。
つまりクラウドセキュリティは、「クラウド事業者が提供する安全な基盤」と「利用者側の適切な設定・運用」の両方がそろって初めて成立します。
クラウド上の情報資産を保護する仕組み
クラウドセキュリティは、クラウド環境上のデータ、アプリケーション、アカウント、ネットワーク、設定情報を守るための仕組みです。対象は、サーバーだけではありません。メール、チャット、ファイル共有、SaaSアカウント、APIキー、バックアップデータ、ログも保護対象です。
企業にとっては、顧客情報、従業員情報、契約書、見積書、営業資料、設計図、ソースコード、会計情報などがクラウド上に置かれるため、クラウドセキュリティは経営リスク対策そのものです。
オンプレミスと保護範囲が異なる
オンプレミスでは、サーバー、OS、ネットワーク、アプリケーション、データ、物理的な設置場所まで、自社で管理する範囲が広くなります。一方、クラウドでは、データセンターや物理サーバー、仮想化基盤などはクラウド事業者が管理します。
ただし、クラウド事業者がすべてを守ってくれるわけではありません。AWSは、クラウドのセキュリティとコンプライアンスはAWSと顧客の共有責任であり、AWSはホストOSや仮想化レイヤーからデータセンターの物理セキュリティまでを運用・管理・制御すると説明しています。つまり、利用者側のデータ、アクセス権限、設定、アプリケーション管理は自社責任として残ります。
この違いを理解しないままクラウドを使うと、「クラウドだから安全なはず」という思い込みが事故につながります。
クラウド利用拡大で対策需要が高まる
総務省は、令和7年版情報通信白書の内容として、企業のクラウドサービス利用率が2024年に80.6%となったことを紹介しています。企業の8割以上がクラウドを利用している以上、クラウドセキュリティは一部のIT企業だけの課題ではありません。
クラウド利用が増えるほど、アカウントの乗っ取り、権限設定ミス、データ共有ミス、シャドーIT、SaaS間連携の不備などのリスクも増えます。特に中堅企業では、Microsoft 365、Salesforce、AWS、Box、Slackなどを部門ごとに導入し、情シスが全体を把握しきれないケースが珍しくありません。
クラウドサービスの種類別に見る責任範囲
クラウドセキュリティを理解するうえで最も重要なのが、「責任共有モデル」です。これは、クラウド事業者と利用者が、それぞれどこまで責任を持つかを整理する考え方です。
大まかに言えば、IaaSは利用者側の責任範囲が広く、PaaSはアプリケーションとデータ管理が中心になり、SaaSはアカウント・権限・データ管理が主な利用者責任になります。
| 種類 | 代表例 | 利用者側の主な責任 |
|---|---|---|
| IaaS | AWS EC2、Azure Virtual Machines | OS、ミドルウェア、アプリ、データ、権限管理 |
| PaaS | Google App Engine、AWS Elastic Beanstalk | アプリ、データ、認証、設定、開発上の安全性 |
| SaaS | Microsoft 365、Salesforce、Box | アカウント、権限、共有設定、データ管理、ログ確認 |
IaaSは利用者側の管理範囲が広い
IaaSは、仮想サーバーやネットワークなどの基盤をクラウド上で借りる形態です。AWS EC2やAzure Virtual Machinesが代表例です。
IaaSでは、物理サーバーやデータセンターはクラウド事業者が管理しますが、OS、ミドルウェア、アプリケーション、データ、アクセス権限、セキュリティパッチの多くは利用者側の責任になります。
自由度が高い反面、管理範囲も広くなります。たとえば、OSの更新を怠る、不要なポートを開放する、管理者権限を広く付与する、秘密鍵を漏らすといったミスは、利用者側のセキュリティ事故につながります。
PaaSはアプリ管理責任が中心になる
PaaSは、アプリケーションを開発・実行するための環境をクラウド事業者が提供する形態です。Google App EngineやAWS Elastic Beanstalkなどが例として挙げられます。
PaaSでは、OSやミドルウェアの一部管理は事業者側に寄ります。そのため利用者は、アプリケーションの安全な実装、認証・認可、データ保護、API管理、ログ確認に集中できます。
ただし、インフラ管理が軽くなるからといって、セキュリティ責任が消えるわけではありません。SQLインジェクション、XSS、認証不備、APIキー漏えい、過剰な権限設定などは、PaaSでも利用者側の責任として発生します。
SaaSはアカウント管理が重要になる
SaaSは、完成されたアプリケーションをインターネット経由で利用する形態です。Microsoft 365、Google Workspace、Salesforce、Box、Slackなどが該当します。
SaaSでは、インフラやアプリケーション本体の管理は事業者側が担います。そのため利用者側の責任は比較的狭くなりますが、アカウント管理、権限管理、共有設定、ログ確認、データ分類は自社責任として残ります。
特に危険なのが、多要素認証なしの管理者アカウント、退職者アカウントの放置、全社共有リンクの乱用、外部共有の棚卸し不足です。SaaSは便利な反面、IDが侵害されると社外からでも重要情報にアクセスされる可能性があります。
クラウドセキュリティ対策は専門家に相談することで、リスクを抑えることが可能になります。CyberCrewでは、複数名のホワイトハッカーが在籍し、攻撃者が実際に狙うポイントから現場感のあるテストでリスクを評価します。まずは無料でご相談ください。
クラウド環境で起こりやすいリスク
クラウドのリスクは、「クラウドだから危険」という単純な話ではありません。多くの事故は、利用者側の設定ミス、アカウント管理不足、ログ監視不足、委託先管理不足、運用ルール不足から発生します。
ここでは、企業で特に起こりやすい4つのリスクを整理します。
不正アクセスが情報漏えいを引き起こす
クラウドはインターネット経由でアクセスできるため、IDとパスワードが盗まれると、攻撃者は社外からでもログインを試みることができます。
攻撃の入口は、フィッシングメール、パスワード使い回し、マルウェア感染、認証情報の流出、退職者アカウントの放置などです。特に管理者アカウントが侵害されると、メール、ファイル、顧客情報、チャット履歴、設定情報まで広範囲にアクセスされる恐れがあります。
対策の基本は、多要素認証、条件付きアクセス、管理者アカウントの分離、ログイン通知、不要アカウントの削除です。
設定ミスが重大な脆弱性につながる
クラウドで非常に多いのが設定ミスです。たとえば、クラウドストレージを誤って公開状態にする、管理画面をインターネット全体に開放する、セキュリティグループで不要なポートを開ける、SaaSの外部共有を制限していない、といったケースです。
設定ミスは、悪意ある攻撃を受ける前から情報が見える状態になっている点で危険です。社内では「限定共有のつもり」でも、実際にはURLを知っていれば誰でもアクセスできる設定になっていることがあります。
このリスクを減らすには、初期設定を信用せず、定期的な設定監査を行うことが重要です。後述するCSPMは、この設定ミスを継続的に検知するための代表的な仕組みです。
シャドーITが管理外利用を増加させる
シャドーITとは、情シスやセキュリティ部門が把握しないまま、部門や個人がクラウドサービスを利用している状態です。
たとえば、営業部門が独自にファイル共有サービスを使う、マーケティング部門が外部のフォームサービスを導入する、開発チームが個人アカウントでクラウド環境を作る、といったケースがあります。
問題は、契約状況、保管データ、アクセス権限、退職者対応、ログ、バックアップ、サポート体制が管理されないことです。便利だから使うという現場の事情は理解できますが、機密情報や個人情報を扱う場合は、会社として利用ルールを決める必要があります。
障害や誤操作でデータ消失が発生する
クラウドのリスクは外部攻撃だけではありません。障害、契約更新漏れ、誤削除、設定変更ミス、同期ミスによってデータが失われることもあります。
「ふくいナビ」では、契約先の手続き不備により、利用していたクラウド上のデータが消失した問題が報じられました。その後、旧サーバー内のバックアップが確認され復旧の目処が立ったとされていますが、クラウド上のデータも契約・運用ミスで失われ得ることを示した事例です。
また、KADOKAWAへのランサムウェア攻撃では、外部漏えいが確認された個人情報が合計254,241人分と公表されています。クラウド利用企業も、攻撃・障害・誤操作のいずれにも備え、バックアップと復旧手順を確認しておく必要があります。
クラウドセキュリティの基本対策
クラウドセキュリティ対策は、製品導入から始めるよりも、まず基本対策を固めることが重要です。特に効果が大きいのは、多要素認証、最小権限、暗号化、ログ監視、バックアップです。
多要素認証で不正ログインを防止する
多要素認証は、クラウドセキュリティで最も費用対効果が高い対策の一つです。パスワードが漏れても、認証アプリや物理キーがなければログインしにくくなります。
優先すべき対象は、管理者アカウント、メール、Microsoft 365、Google Workspace、VPN、クラウド管理画面、会計システム、ファイル共有サービスです。
SMS認証は導入しやすい一方で、SIMスワップなどのリスクがあります。可能であれば、認証アプリやFIDO2対応のセキュリティキーを利用する方が安全です。
最小権限で不要なアクセスを制限する
最小権限とは、業務に必要な範囲だけ権限を与える考え方です。全社員がすべてのフォルダを見られる、全管理者がすべての設定を変更できる、といった状態は危険です。
特にクラウドでは、権限が広すぎると、1つのアカウント侵害から被害が一気に拡大します。部署、役職、業務内容に応じてアクセス権を分け、定期的に棚卸しを行いましょう。
退職者アカウント、異動者の旧権限、使っていないAPIキー、長期間利用されていない管理者アカウントは、早めに削除または無効化する必要があります。
暗号化で通信中と保存中の情報を守る
暗号化には、通信中の暗号化と保存中の暗号化があります。通信中の暗号化はSSL/TLSにより、インターネット上で情報を盗み見られにくくする仕組みです。保存中の暗号化は、クラウドストレージやデータベース内のデータを暗号化して保護する仕組みです。
多くのクラウドサービスでは暗号化機能が標準で提供されています。ただし、利用者側で有効化や鍵管理を設定する必要がある場合もあります。
特に重要なのは鍵管理です。暗号化していても、鍵が漏えいすれば意味がありません。KMSの利用、鍵のローテーション、管理者権限の制限を検討してください。
監査ログで不審操作を検知する
ログは、クラウド環境の防犯カメラのようなものです。事故そのものを完全に防ぐものではありませんが、不審な操作を早期に見つけ、原因を調査するために不可欠です。
確認すべきログは、ログイン履歴、管理者操作、ファイル共有、権限変更、API実行、データダウンロード、外部連携の追加などです。AWS CloudTrail、Azure Monitor、Microsoft Purview、Google Cloud Audit Logsなど、主要クラウドには標準の監査機能があります。
ログを取得していても、誰も見ていなければ意味がありません。アラート条件を決め、深夜の大量ダウンロード、海外からのログイン、管理者権限の追加などを検知できるようにしましょう。
バックアップで障害時の復旧を行う
クラウドを使っていても、バックアップは必要です。ランサムウェア、誤削除、設定ミス、同期ミス、アカウント侵害、契約上の問題などにより、データが失われる可能性があります。
基本は3-2-1ルールです。重要データを3つ用意し、2種類の媒体に保存し、1つは別環境またはオフラインに保管します。
バックアップで最も重要なのは、復元テストです。バックアップを取っていても、復元できなければ意味がありません。月1回または四半期に1回は、重要データを実際に戻せるか確認してください。
クラウドセキュリティは社内のチェックリストの運用だけでは不十分なケースがあるため、セキュリティ対策の専門家に相談することで、リスクを抑えることが可能になります。CyberCrewでは、複数名のホワイトハッカーが在籍し、攻撃者が実際に狙うポイントから現場感のあるテストでリスクを評価します。まずは無料でご相談ください。
クラウドセキュリティサービスの種類
クラウドセキュリティ製品には多くの種類があります。名称だけを見ると分かりにくいですが、役割で整理すると理解しやすくなります。
ここでは、代表的なCASB、CSPM、SASE、WAFを取り上げます。
CASBはクラウド利用状況を可視化する
CASBは、Cloud Access Security Brokerの略で、クラウドサービスの利用状況を可視化・制御するための仕組みです。
主な役割は、従業員がどのSaaSを使っているかを把握し、シャドーITを発見し、危険なファイル共有や外部送信を制御することです。
Microsoft 365、Google Workspace、Box、Slack、Salesforceなど、多数のSaaSを利用している企業では、CASBにより利用実態を見える化できます。特に「どの部署が何を使っているか分からない」状態の企業に向いています。
CSPMは設定不備を継続監視する
CSPMは、Cloud Security Posture Managementの略で、クラウド環境の設定不備を継続的に検知する仕組みです。
たとえば、公開ストレージ、過剰な管理者権限、暗号化されていないデータベース、不要に開放されたポート、ログ未設定などを検出します。
AWS、Azure、Google CloudなどのIaaS・PaaSを利用している企業では、設定変更が頻繁に発生します。手作業で確認するには限界があるため、CSPMによる継続監視は有効です。
SASEは社外アクセスを安全化する
SASEは、Secure Access Service Edgeの略で、ネットワークとセキュリティ機能をクラウド上で統合する考え方です。
リモートワーク、拠点分散、SaaS利用が増えると、従来の「本社ネットワークに集約して守る」方式では効率が悪くなります。SASEは、社外からのアクセスを安全にし、ゼロトラストに近い考え方で接続を制御します。
VPNの代替や強化、Webアクセス制御、クラウド利用制御、端末状態に応じたアクセス制限を検討する企業に向いています。
WAFはWebアプリ攻撃を遮断する
WAFは、Web Application Firewallの略で、WebサイトやWebアプリケーションへの攻撃を検知・遮断する仕組みです。
SQLインジェクション、クロスサイトスクリプティング、ディレクトリトラバーサル、不正なリクエストなど、Webアプリ特有の攻撃に対応します。
ECサイト、会員サイト、予約システム、問い合わせフォーム、管理画面を公開している企業では、WAFと脆弱性診断を組み合わせることで防御力を高められます。
クラウドセキュリティサービス選定で押さえるべき3つのポイント
製品選定では、「有名な製品だから」「多機能だから」だけで選ぶと失敗します。重要なのは、自社のクラウド環境、運用体制、予算、セキュリティ課題に合っているかです。
自社のクラウド環境に適合しているかを見極める
まず確認すべきは、自社が何を使っているかです。Microsoft 365中心なのか、AWS中心なのか、SalesforceやBoxなどSaaSが多いのか、マルチクラウドなのかによって必要な製品は変わります。
SaaS利用の可視化が課題ならCASB、AWSやAzureの設定ミスが課題ならCSPM、リモートアクセスが課題ならSASE、Webアプリの防御が課題ならWAFが候補になります。
導入前には、対象サービス、連携方法、ログ取得範囲、アラート精度、既存ID基盤との連携を確認してください。
第三者認証の取得状況で信頼性を判断する
クラウドサービスを選定する際は、第三者認証や監査報告書を確認しましょう。ISMS、ISO/IEC 27017、ISMAP、SOC 2などは、サービス提供者のセキュリティ管理体制を判断する材料になります。
ただし、認証取得は「絶対に安全」という意味ではありません。あくまで一定の管理策や監査を受けていることを示す指標です。自社の用途、保管データ、規制要件、契約条件と照らし合わせて判断する必要があります。
運用負荷とコストのバランスをチェックする
セキュリティ製品は、導入費用だけでなく運用工数も重要です。アラートが多すぎる、設定が難しい、日本語サポートが弱い、運用担当者がいない、といった理由で使いこなせないケースがあります。
TCO、つまり総保有コストの視点で、初期費用、月額費用、運用工数、サポート、チューニング、教育、外部委託費用まで含めて評価しましょう。
中小・中堅企業では、製品だけを買うより、運用支援やMDR、外部専門家のサポートと組み合わせた方が現実的な場合があります。
クラウドサービスのセキュリティ基準
クラウドサービスを選ぶ際、セキュリティ基準や認証制度を理解しておくと、比較検討がしやすくなります。ここでは代表的な基準を整理します。
| 基準・認証 | 主な位置づけ |
|---|---|
| ISMS | 情報セキュリティマネジメントの基礎認証 |
| ISO/IEC 27017 | クラウドセキュリティの管理策に関するガイドライン |
| CSマーク | 日本国内向けのクラウド情報セキュリティ監査制度 |
| CSA STAR | Cloud Security Allianceによるクラウドセキュリティの透明性確保 |
| StarAudit | 欧州発のクラウドサービス認証 |
| FedRAMP | 米国政府機関向けクラウド認証制度 |
| SOC 2 | AICPAによる内部統制保証報告 |
ISMS
ISMSは、情報セキュリティマネジメントシステムの認証です。クラウドに限らず、組織全体の情報セキュリティ管理体制を対象とします。
ISMSを取得しているクラウド事業者や委託先は、情報セキュリティ管理に関する基本的な体制を整備していると判断する材料になります。
ただし、ISMSはクラウド固有の管理策をすべて保証するものではありません。クラウドサービスの利用や提供に関しては、ISO/IEC 27017やISMSクラウドセキュリティ認証も確認するとよいでしょう。
ISO/IEC 27017
ISO/IEC 27017は、クラウドサービスに関する情報セキュリティ管理策のガイドラインです。JIPDECは、ISMSクラウドセキュリティ認証の認証基準がJIP-ISMS517であり、これはISO/IEC 27017:2015に基づく要求事項だと説明しています。
また、JIPDECはISO/IEC 27017について、クラウドサービス固有の情報セキュリティ管理策および手引を提供するガイドライン規格であり、単体では認証基準ではない点も説明しています。
クラウド事業者を選定する際は、ISMSだけでなく、クラウドセキュリティ認証の有無も確認すると実務的です。
CSマーク
CSマークは、JASAのクラウド情報セキュリティ監査制度に関するマークです。JASAは、要件を満たしていると認定された監査を受けた基本言明書に、CSマークを付与すると説明しています。
CSマークには、外部監査を終えたゴールドと、内部監査を終えたシルバーがあります。JASAの説明では、ゴールドは適合監査が実施されたCS言明を対象とし、シルバーは自主監査が実施されたCS言明を対象としています。
国内クラウドサービスを比較する際の判断材料として確認できます。
CSA STAR認証
CSA STARは、Cloud Security Allianceが提供するクラウドセキュリティの透明性確保のためのプログラムです。CSAは、STARについて、クラウドプロバイダがセキュリティコントロールについて登録・公開でき、利用者がクラウドプロバイダを評価するために参照できるものと説明しています。
グローバルに利用されるクラウドサービスでは、CSA STARへの登録や認証が、セキュリティ姿勢を確認する材料になります。
StarAudit Certification
StarAuditは、欧州発のクラウドサービス評価・認証スキームです。StarAudit公式サイトでは、クラウドサービスの品質評価を透明で信頼できるプロセスを通じて提供することを目的としていると説明されています。
日本国内ではISMSやISMAPほど一般的ではありませんが、欧州取引や海外展開を行う企業では、クラウドサービス選定時の補助的な確認項目になります。
FedRAMP
FedRAMPは、米国政府機関向けのクラウドセキュリティ認証制度です。GSAはFedRAMPについて、クラウド製品・サービスに対するセキュリティ評価、認可、継続監視の標準化されたアプローチを提供する政府横断プログラムと説明しています。
米国政府関連業務、グローバル展開、海外クラウドサービスの選定では、FedRAMP対応状況が重要な判断材料になる場合があります。
SOC 2(SOC 2+)
SOC 2は、AICPAのTrust Services Criteriaに基づく内部統制保証報告です。AICPAは、セキュリティ、可用性、処理の完全性、機密性、プライバシーに関する基準を示しています。
SOC 2には、ある時点の統制状況を示すType 1と、一定期間にわたる運用状況を示すType 2があります。SaaSベンダーを選定する際は、SOC 2 Type 2レポートの有無を確認すると、運用実態を把握しやすくなります。
クラウドセキュリティの対策ならCyberCrew
CyberCrewは、攻撃者視点で企業のセキュリティ課題を可視化するサイバーセキュリティ企業です。脆弱性診断、ペネトレーションテスト、ダークウェブモニタリングなどを通じて、クラウド利用企業のリスク把握と対策検討を支援します。
クラウド環境では、設定ミス、権限過多、外部公開、認証不備、ログ監視不足など、見落とされやすい弱点が事故につながります。CyberCrewでは、単にチェックリストで確認するだけでなく、攻撃者がどこから侵入し、どこまで到達できるかという視点でリスクを整理します。
「AWSやAzureの設定に不安がある」「SaaSの外部共有を棚卸ししたい」「取引先からクラウドセキュリティ体制を問われている」「どこから対策すべきか分からない」という場合は、まず現状把握から始めることをおすすめします。
クラウドセキュリティのよくある質問
クラウドセキュリティは何から始めるべき?
まずは、利用中のクラウドサービスを棚卸しし、責任範囲を整理してください。そのうえで、多要素認証、管理者権限の見直し、外部共有設定の確認、ログ取得、バックアップの確認から始めるのが現実的です。
最初から高額な製品を導入するより、「誰が何にアクセスできるか」「重要データがどこにあるか」を明確にすることが重要です。
クラウドはオンプレミスより安全なの?
適切に設定・運用すれば、クラウドはオンプレミスより安全になり得ます。大手クラウド事業者は、データセンター、物理サーバー、基盤インフラに高度なセキュリティ投資を行っています。
ただし、利用者側の設定やアカウント管理が不十分であれば、クラウドでも事故は起きます。安全性は、クラウド事業者の基盤と、利用者側の運用の両方で決まります。
ISO27017とISMAPは何が違う?
ISO/IEC 27017は、クラウドサービスに関する情報セキュリティ管理策の国際的なガイドラインです。一方、ISMAPは日本政府がクラウドサービスを調達する際に、安全性・信頼性を評価する制度です。
(引用:国家サイバー統括室|ISMAP)
NISCは、ISMAPについて、政府機関等がクラウドサービスを調達する際のセキュリティ・信頼性を評価する制度として定着してきたと説明しています。
無料クラウドでも対策は必要?
必要です。無料クラウドや個人向けクラウドであっても、業務データを保存している場合は会社の情報資産になります。
無料版では、管理者機能、監査ログ、サポート、データ保護機能が制限されることがあります。業務利用する場合は、会社として許可されたサービスを使い、共有設定や退職者対応も管理する必要があります。
クラウドセキュリティ製品は必要?
企業規模や扱う情報によります。小規模で利用サービスが少ない場合は、標準機能のMFA、ログ、共有制御、バックアップから始めてもよいでしょう。
一方、中堅企業以上で複数のSaaSやIaaSを利用している場合、CASB、CSPM、SASE、WAFなどの専用製品が必要になる場面が増えます。特に、シャドーIT、設定ミス、リモートアクセス、Webアプリ防御が課題の場合は、専用サービスの導入を検討すべきです。
まとめ|クラウドセキュリティで押さえたい要点
クラウドセキュリティで最初に押さえるべきことは、「クラウド事業者任せでは守れない」という点です。クラウドには責任共有モデルがあり、利用者側にもアカウント管理、権限管理、データ管理、設定監査、ログ監視、バックアップの責任があります。
まず取り組むべき基本対策は、次の5つです。
- 多要素認証を導入する
- 最小権限でアクセスを制限する
- 通信中・保存中のデータを暗号化する
- 監査ログを取得し、不審操作を検知する
- バックアップと復旧テストを行う
そのうえで、SaaS利用が多い企業はCASB、設定ミスが不安な企業はCSPM、リモートアクセスが課題の企業はSASE、Webアプリを公開している企業はWAFを検討するとよいでしょう。
自社のクラウド環境にどのようなリスクがあるか分からない場合は、CyberCrewへご相談ください。攻撃者視点の診断と実践的なレポートにより、優先順位のあるクラウドセキュリティ対策を支援します。
投稿者プロフィール
-
Head of Business / Evangelist
CyberCrewの事業責任者として、企業の情報セキュリティ対策を総合的に支援。脆弱性診断やペネトレーションテスト、インシデント対応、セキュリティ教育まで幅広い領域を統括し、企業ごとの課題やリスクに応じた最適な支援体制の構築を推進しています。ホワイトハッカーの知見と事業視点をつなぎ、現場で機能する実践的なセキュリティ対策の提供を通じて、企業の安全なIT環境づくりを支えています。
