クラウドセキュリティの責任を共有するということは、多くの場合、誰も責任を負わないことを意味する。

責任が明確でないグループの場合、「共有」または「共同」責任は、全員が他の誰かが問題を解決していると思っているものの、実際には誰も解決していないことを意味します。結局、作業が遅れたり、何か問題が起きても誰も責任を負わなかったりすることになります。

共有責任モデルとクラウド サービス プロバイダー

クラウド サービスの「責任共有」モデルは次のように機能します。クラウド プロバイダーは、特定のレベル以下のすべてのもの (通常はソフトウェア) を保護し、そのセキュリティに責任を負います。このレベルを家の基礎と考えると、クラウド テナントとしてのあなたの責任は、基礎、つまり家にあるすべてのものを保護することです。

この一見明確な境界は、実際には精査に耐えるものではありません。基礎と家を分ける単純な線が存在しないからです。基礎は家屋とつながっており、両者を相互接続する構造は家の完全性の一部です。クラウド プラットフォームとそこで実行されるアプリケーションと同じです。

クラウドの誤った構成とツールの複雑さ

現実には、顧客がクラウド サービスをどのように構成するかによって、アプリケーションのセキュリティが決まります。たとえば、Lambda 関数 (サーバーレスのコアコンポーネント) は公開されていますか? Lake Formation (AWS 上にデータレイクを構築するためのサービス) ではアクセス制御が有効になっていますか? Azure SqlDB Server (Microsoft クラウド データベース) で高度なデータ セキュリティ オプションがオンになっていますか? GCP (Google Cloud) クラウド関数にはパブリック呼び出し権限がありますか? CDN ネットワークでは、多くの人がオリジン サーバーのドメイン名を隠すことを忘れがちです。 SaaS アプリケーションを統合する場合、API は特定のユーザー専用ではなく、どのユーザーでも呼び出すことができます。

クラウドにおける顧客のセキュリティは、上記の問題だけではありません。そのため、優れたクラウド プラットフォームでは、こうした見落としを最小限に抑え、安全でないデフォルト設定を回避するために多大な労力を費やします。しかし、すべてのクラウド サービスを完璧に提供できるクラウド プロバイダーはなく、すべてのクラウド プラットフォームがシステムのセキュリティを保証できるわけではありません。さらに悪いことに、これらのクラウド プロバイダーは、特にその対応が不十分な場合、安全でない構成の選択について顧客に積極的に通知しません。

皮肉なことに、顧客に最も多くのセキュリティ サービスを提供するクラウド プラットフォームは、多くの場合、それらのサービスの使用において最も複雑な問題を生み出します。各ツールキットを正しく使用するには多くの知識が必要であるため、ツールキットを正しく構成するクラウド サービスの提供を専門とする企業が存在します。おそらく、サードパーティのリスク管理プロセスを導入する時期が来ているのでしょう。