なぜ今クラウドセキュリティなのか？
自社に最適なセキュリティ戦略を考える
キヤノンITソリューションズ 共想共創フォーラム2025イベントレポート

クラウドサービスは多くの会社で当たり前に利用されるようになりましたが、シャドーITやそこに潜む脆弱性・リスクの管理は新たな悩みとなっています。その負担を軽減し効率的・効果的に対策するには、自社のクラウド戦略を意識したソリューションを選択することが重要になります。本セッションでは、クラウドの典型的なリスクやインシデント事例などを踏まえて、ソリューションの選び方のポイントを解説します。

近年、クラウドの活用があらゆる業種・企業規模に浸透し、DX（デジタルトランスフォーメーション）の推進とともに、クラウドサービスの利用率は急速に高まっています。総務省の調査によれば、企業の約8割が何らかの形でクラウドを利用しており、クラウドはもはや「特別な技術」ではなく、日常的なIT基盤となりつつあります。

しかしその一方で、「クラウドを戦略的に活用したいが、セキュリティが不安」「多様なソリューションの中から何を選べばよいか分からない」といった悩みを抱える企業も少なくありません。クラウドは柔軟性や拡張性、コスト効率など多くのメリットを持つ一方で、設定ミスや認証情報の漏洩など、利用者側の管理不備によるセキュリティリスクが顕在化しています。

本セッションでは、クラウドセキュリティに関する最新のインシデント傾向や、典型的なリスク要因を紹介しながら、自社に最適なセキュリティ戦略をどのように構築すべきかを考察します。クラウドの活用において「何を守るべきか」「どこにリスクがあるか」を明確にし、戦略的な対策を講じるためのヒントを提供することを目的としています。

クラウドの活用は、DX（デジタルトランスフォーメーション）の進展とともに、企業の規模や業種を問わず急速に広がっています。IPAの調査によると、2023年度には日本企業の約74%がDXに取り組んでおり、クラウドはその基盤技術として不可欠な存在となっています。クラウドは、従来のオンプレミス型と比べて初期費用が抑えられ、柔軟なリソース拡張や安定性・冗長性の確保が可能であり、特に中堅・中小企業にとっても大きなメリットがあります。

また、クラウドサービスの利用率は2023年時点で約78%に達しており、業種別・企業規模別に見ても、ほぼすべての領域で普及が進んでいます。クラウドの普及背景には、ビジネスモデルの変革や業務の効率化・見える化へのニーズがあり、スピードと安定性を両立させるIT投資の手段としてクラウドが選ばれています。

クラウドにはSaaS、PaaS、IaaSといったサービス種別があり、それぞれに適した活用方法があります。特にSaaSは迅速な導入が可能で、業務効率化に広く利用されています。一方で、クラウドの抽象的で動的なインフラ構成は、設定ミスや認証情報の漏洩といったセキュリティリスクを高める要因にもなっており、戦略的なセキュリティ対策が求められています。

クラウドサービスは、提供形態によって大きく3つに分類されます。**SaaS（Software as a Service）**は、アプリケーションをインターネット経由で提供する形態で、導入が容易で迅速なビジネス展開に適しています。**PaaS（Platform as a Service）**は、OSやミドルウェアなどの開発基盤を提供し、独自のアプリケーション開発に向いています。**IaaS（Infrastructure as a Service）**は、仮想マシンやストレージなどのインフラを提供し、柔軟な構成が可能です。

さらに、クラウドのインフラ形態にはパブリッククラウド（他社と共有）とプライベートクラウド（自社専用）があります。パブリッククラウドはコスト効率に優れ、プライベートクラウドは性能やセキュリティ面での制御がしやすいという特徴があります。

クラウド利用において重要なのが「責任共有モデル」です。これは、クラウドサービス事業者と利用者がセキュリティや運用管理の責任を分担するという考え方です。たとえば、SaaSでは多くの機能を事業者が提供しますが、設定や端末管理などは利用者の責任です。IaaSでは、OSやアプリケーションの管理は利用者に委ねられます。

このモデルにより、クラウドを利用する企業は「すべてを事業者任せにする」のではなく、自社で担うべきセキュリティ対策を明確に理解し、実施する必要があります。特に設定ミスや認証情報の管理不備は、利用者側の責任範囲であり、インシデントの主因となることが多いため注意が必要です。

クラウド環境におけるセキュリティリスクは、従来のIT資産と同様に多岐にわたりますが、クラウド特有の構造や運用形態により、リスクの発生頻度や影響範囲が拡大する傾向があります。特に注目すべきは、設定ミスと認証情報の漏洩という2大リスク要因です。

設定ミスは、クラウドの抽象的かつ動的なインフラ構成に起因し、管理者が意図しない公開設定や過大な権限を付与してしまうことで、情報漏洩などのインシデントにつながります。実際、SaaSにおける情報漏洩の多くはフォームアプリの設定ミスによるもので、正しい設定をしていれば防げたケースが多数報告されています。

一方、認証情報の漏洩は、アクセスキーやID・パスワードの管理不備によって発生します。特にアクセスキーの多用や、GitHubなどの公開リポジトリへの誤掲載、不要なアカウントの放置などが原因となり、外部からの不正アクセスを招く事例が増加しています。これらは、クラウドがオンラインで常時接続されている特性上、即座に被害につながる危険性があります。

さらに、クラウド環境では、リソースの共有やマルチテナント構成、インフラの抽象化により、脆弱性の把握や保護対象の明確化が難しくなり、セキュリティ対策の抜け漏れが発生しやすくなっています。これらのリスクは、クラウドの利便性と引き換えに、より高度な管理と戦略的な対策を必要とすることを示しています。

クラウドセキュリティにおいて「唯一の正解」は存在せず、企業のクラウド活用状況やビジネス戦略に応じて、最適な対策を選択・組み合わせることが重要です。まずは、情報セキュリティの基本的対策（パスワードポリシー、多要素認証、脆弱性管理、ログ監査など）を確実に実施した上で、クラウド特有のリスクに対応する戦略的対策を検討する必要があります。

戦略的対策には、ゼロトラストモデルへの移行、認証・認可ポリシーの動的運用、情報資産の可視化と脆弱性・設定の定期監視などが含まれます。これらは人手による管理だけでは限界があるため、ASM（アタックサーフェスマネジメント）やSSPM（SaaS Security Posture Management）、CSPM（Cloud Security Posture Management）、**CIEM（Cloud Infrastructure Entitlement Management）**などの専用ソリューションを活用することが現実的かつ効果的です。

また、複数のクラウドサービスを利用している企業では、IDaaS（Identity as a Service）によるID統合管理やシングルサインオンの導入が、認証・認可の強化に役立ちます。さらに、社内外のネットワークを統合的に管理し、ゼロトラストを推進するためにはSASE（Secure Access Service Edge）やエンタープライズブラウザーの導入も有効です。

自社のクラウド戦略の「現在地」と「目指すゴール」を明確にし、それに応じたセキュリティ対策を段階的に導入することが、持続可能で効果的なクラウドセキュリティの実現につながります。

クラウドセキュリティは、単なる技術的な課題ではなく、企業のIT戦略と密接に関わる重要なテーマです。クラウドの普及により、利便性や柔軟性が向上する一方で、設定ミスや認証情報の漏洩など、利用者側の管理不備によるインシデントが増加しています。これらのリスクは、クラウドの構造的な特性（抽象化、動的構成、リソース共有など）によってさらに複雑化しています。

そのため、クラウドセキュリティ対策は「基本的対策」と「戦略的対策」の両面からアプローチする必要があります。基本的対策としては、パスワード管理、MFA、多層防御、ログ監査などの従来型セキュリティを徹底することが求められます。一方、戦略的対策では、ゼロトラストモデルへの移行、認証・認可ポリシーの動的運用、情報資産の可視化と脆弱性の定期監視などが重要です。

これらの対策を実現するためには、ASM、SSPM、CSPM、CIEM、IDaaS、SASEなどの専用ソリューションを活用し、人的リソースの限界を補うことが現実的かつ効果的です。自社のクラウド活用状況を正しく把握し、リスクの所在を明確にした上で、段階的かつ継続的に対策を講じることが、最適なクラウドセキュリティ戦略の構築につながります。