AWS ジャパン セキュリティアシュアランス本部の松本照吾氏は、クラウド環境の安全性について、コンサルティング会社マッキンゼーの調査を引用し、「ワークロードやインフラをクラウド環境に移行していくことで、組織のリソースの安全性を高めていく。サイバーチームの管理の自動化が可能になっていく」と説明した。

AWS ジャパン セキュリティアシュアランス本部の松本照吾氏

マッキンゼーの提言はグローバルでの調査を元にしたものだが、国内を見渡すとクラウド環境を利用している企業であってもセキュリティ事故が絶たない（参考：【クラウドセキュリティ入門】インシデントの9割が「ミス」によるもの？）。「クラウドは使われているが、適切な利用という観点ではまだ課題がある。従来のオンプレミスの発想でクラウド利用が行われていて、メリットを十分に享受できていない」と松本氏は指摘した。

松本氏が引用したデジタル庁の提言。クラウド利用は一見加速しているが、
オンプレミスの構成をそのまま持ち込んでいる企業が多いという

クラウドのメリットを十分に享受するにはどうすればいいか。

松本氏によれば、オンプレミスでは自前で構築したサーバーを守るために、その周辺のネットワークを中心にセキュリティ対策を適用する。一方、クラウドにおいてはこうした物理的なインフラは事業者が提供する。そのため、より上位のレイヤー、すなわちデータの暗号化や認証など、クラウド利用における様々な設定を適切に行うことがセキュリティ対策の中心になる。「マネージドサービスを利用することで、適切な管理が可能になる」と松本氏は述べた。

さらにオンプレミスとクラウドで異なる考え方として、クラウドでは「責任共有モデル」の理解が重要だとした。これはネットワークやストレージ、コンピューティングといったクラウドの物理的インフラについてはクラウド事業者側で責任を負うが、クラウド内部のデータやアプリケーションのセキュリティはユーザー側の責任となるという考え方だ。

AWSの責任共有モデルの概要

「言い替えれば、データの統制は基本的にユーザーのみが可能となる。こうした考えを実現するために、AWSでは様々なコンプライアンスプログラムに取り組んでいる。考え方としてはグローバルで同質のフレームワークを適用してベースラインを整えたうえで、各国の基準を適用している」と松本氏は話した。

責任共有モデルにおける、責任の範囲

「AWSではユーザーのセキュリティ向上を様々な形で支援をしている。単に安全な基盤を提供しているだけではなく、セキュリティのゴールをユーザーが達成する支援を様々な形で実施している」と松本氏は強調した。