昨今、クラウドサービスを活用している企業は多いが、クラウドサービスのセキュリティ対策について、利用者に十分な説明責任を果たしているクラウドサービス事業者は多くない。本稿ではクラウドサービスのセキュリティについて、現状の課題とIT部門が取るべき対策について述べる。
クラウドサービスを利用するうえでの大きな懸念事項として、情報漏洩のリスクがあげられる。特にクラウドサービス事業者との契約では、クラウド上に保存したデータの機密性、完全性、可用性についてのリスクは図1にあげるように多数存在し、これらは保証されないケースがほとんどである。
クラウドサービスの多くは仮想化技術を活用してリソースの共有化を行い、コスト削減を実現している。またクラウドサービスは、オンプレミスで開発されたシステムに比べ、初期投資を低く抑えて短期間で導入できるメリットがある。一方でオンプレミスによるシステムの場合、導入時にセキュリティリスクを業務レベルで検討、把握することが可能であるのに対し、クラウドサービスでは利用者側から見るとブラックボックスとなっている領域が多く、セキュリティリスクの分析を行うことは難しい。
現状のクラウドサービスが抱えるセキュリティ課題には、クラウドの利点であるマルチテナントに起因するものもあげられる。また、比較的低価格の海外クラウドサービスでは、国際的なハッカー集団による攻撃のインフラや踏み台とされているケースがある。さらに、海外にあるデータセンターを利用した攻撃や犯罪については、現状ではこれを取り締まる国際的な法令がない。事実、米国内にあるデータセンター事業者に対し、他国からの攻撃者により犯罪がおこなわれてもインターポールなどの国際組織が犯罪者を検挙することは難しい。例えば、Google社やFacebook社などの情報が国際犯罪に利用されても、国を跨ぐ犯罪者を取り締まることが難しいといった国際的な課題が実際に存在するのである。