クラウドのセキュリティ問題にスポット　Capital Oneのデータ漏えい

パブリッククラウドを使う企業のセキュリティ対策とは？

　他の業種と同様、金融機関のクラウド移行はさらに進むだろう。大手ではJP Morgan Chase、Bank of Americaなどが、積極的にクラウドの受け入れを進めている。IDCの予想では、世界の金融機関は2023年までに、2019年（243億ドル）の2.2倍にあたる530億ドルをパブリッククラウドに費やすという。

　セキュリティ会社Alert Logicは、ブログで事件を伝えながら、クラウドを利用する顧客にありがちな問題を指摘。「企業はクラウド移行時に、クラウドが提供するインフラの堅牢なセキュリティが、クラウド内での自社の保護になると誤解する」、そして「自分のワークロードやアプリケーションレイヤーを、攻撃にさらされたままにしてしまう」と解説する。

　今回もAWSはCNBCの取材に対して「犯人はWebアプリケーションの設定ミスからアクセスを取得した」と説明している。

　Alert Logicは、従来システムと異なり、クラウドのセキュリティは「共有の責任モデル」に基づいていると言う。

　「クラウド事業者にはインフラの責任があり、安全に実装し、最新の状態に維持する」。一方で、これを補完するものとして「顧客は自分たちがクラウドプラットフォーム上で使うワークロードとデータの安全な設定、モニタリング、パッチに責任を持つ」。つまりユーザーは、預けたら終わりではなく、一貫して常に警戒していなければならないということだ。

　セキュリティコンサルのBishop FoxのVincent Liu氏は「クラウドに移行しようとする企業は、並行してセキュリティ戦略を持たねばならない」とWall Street Journalに述べている。

　また、Bank of Americaで最高執行・技術責任者を務めるCathy Bessant氏は「情報共有」の重要さを強調する。同氏は、銀行が警察を含む政府機関や民間とサイバー上の脅威を共有することによってリスクを軽減できるとCNBCに語り、政府はこうした共有を義務付けるべきだと主張している。

　JP Morgan ChaseとBank of Americaの2行だけで、サイバーセキュリティの予算は年間14億ドルに達しているという。クラウド事業者も対応を進めている。AWSが2017年、設定に関連した問題を検出してアラートを出す技術を導入したことをWall Street Journalは紹介している。

　クラウド時代のセキュリティベストプラクティスには、使う側、提供する側の双方の力が求められる。