クラウドについてCFOが知っておきたいこと
［第2回］クラウドとセキュリティ

小林正文

日本マイクロソフト株式会社
業務執行役員 フィナンシャル・ディレクター

　第2回目は「ITの守り」の側面であるセキュリティについて考えたい。前回取り上げた平成25年版情報通信白書（総務省）では、「クラウドを導入しない理由」の上位に「情報漏えいなどセキュリティに不安がある」と挙げられていた。果たしてそうだろうか?「クラウドだからリスクが高い」とはもはや言えないだろう、という話を以下に続けたい。

アクセス管理とセキュリティ

　まず、オンプレミスとクラウドでセキュリティへの考え方は変わるのか? 答えは、イエス。「何を管理するか」が特に異なってくる。オンプレミスは「自宅に金庫を設置する」、クラウドは「銀行の貸金庫に預ける」、とイメージしてほしい。オンプレミスではハードウェアやソフトウェアの管理が中心であった。自宅にある金庫そのものを強化することがセキュリティ強化に直接つながった（セキュリティ製品の強化）。物理的に金庫に近寄らせないことも有効だった（社内イントラネットへのアクセスの制限）。一方、クラウドでは管理するものが「アクセス権」に変わる。銀行の貸金庫に預けると、管理するものが「貸金庫の鍵やパスワード」になるのと同じである。クラウドでは、金庫そのもの強化ではなく、アクセス管理を強化することが重要となってくる。そして、管理者権限は何としても保護しなければならない。