クラウドサービスの利用が当たり前になった今、「オンプレミス時代のセキュリティ対策のままで本当に大丈夫なのか」と疑問を抱える情シスやセキュリティ責任者の方が増えています。AWSやMicrosoft 365、Salesforceといったクラウドが業務の中心となり、社内ネットワークの外側で重要データが扱われる時代に入りました。

しかし、クラウド事業者と利用者の責任範囲（責任共有モデル）を正しく理解していないと、設定ミスやアクセス権の放置によって、想定外の情報漏えいを招くリスクが残ります。クラウド環境における人的要因や設定不備が情報漏えいの主要因となっており、適切な統制設計が求められています。

クラウドセキュリティの基本概念から、脅威の種類、責任共有モデル、CASB・CSPM・SASEといった主要技術、ガイドライン、対策の実践ステップまでを情シス向けに整理します。クラウド時代の守りの全体像を体系的に把握したい方にとって、出発点となる解説としてご活用ください。

クラウドセキュリティとは｜定義と必要性

クラウドセキュリティとは、IaaS・PaaS・SaaSといったクラウドサービス上で扱われるデータ、アプリケーション、インフラ、アイデンティティを保護するための技術・運用・ガバナンスの総称です。物理的な境界線で守る従来型セキュリティと異なり、API・アイデンティティ・設定情報を起点にした統制を前提とします。

クラウドセキュリティが重視される背景には、業務データの大半がクラウドに移行している実態があります。総務省「令和5年通信利用動向調査」によれば、企業のクラウド利用率は77.7%に達し、業務システムの50%以上がクラウド化された企業も増えています。データの居場所が変わった以上、守り方も変える必要があります。

加えて、ゼロトラストの考え方が浸透し、社内ネットワーク内であっても通信を信頼しない前提でアクセス制御を行う流れが加速しています。クラウドセキュリティは、ゼロトラスト推進の中心的な構成要素として位置付けられています。

参考：総務省「令和5年通信利用動向調査」

参考：What is Cloud Security? | Microsoft Security

クラウドサービスの種類と責任共有モデル

クラウドセキュリティを理解するうえで欠かせないのが、サービス形態（IaaS／PaaS／SaaS）と責任共有モデルです。利用するサービス形態によって、利用者が負うべき責任の範囲が大きく異なります。

IaaS・PaaS・SaaSの違い

それぞれのサービス形態で利用者がコントロールする範囲は次のとおりです。

• IaaS（Infrastructure as a Service）：仮想マシン・ストレージ・ネットワークまで利用者管理。AWS EC2、Azure VM、Google Compute Engineなど
• PaaS（Platform as a Service）：OS・ミドルウェアは事業者管理、アプリと設定は利用者管理。AWS Elastic Beanstalk、App Engineなど
• SaaS（Software as a Service）：アプリ自体は事業者管理、利用者は設定・データ・アクセス権を管理。Microsoft 365、Salesforce、Slackなど

利用範囲が広いほど、利用者側で実施すべきセキュリティ対策の比重が高まります。

責任共有モデル（Shared Responsibility Model）

クラウド事業者と利用者の責任範囲を明示する考え方が責任共有モデルです。AWSやMicrosoftは公式ドキュメントでこのモデルを公開しています。

• 事業者の責任：データセンター、ハードウェア、ハイパーバイザー、ネットワーク基盤など「クラウドのセキュリティ」
• 利用者の責任：データ、アクセス権限、設定、ID管理、アプリケーションなど「クラウド内のセキュリティ」

責任共有モデルの誤解は、設定不備による情報漏えいの主要因です。「クラウドだから事業者がすべて守ってくれる」という思い込みは、最も避けるべき判断ミスといえます。

参考：AWS Shared Responsibility Model

参考：Microsoft Cloud の責任共有モデル

クラウドセキュリティの主要な脅威

クラウド利用に伴う脅威は、Cloud Security Allianceが毎年発表する「Top Threats」として体系化されています。情シスが押さえておくべき代表的な脅威は次の8つです。

1. 設定ミス（Misconfiguration）

S3バケットの公開設定ミス、IAMロールの権限過剰付与、ストレージの暗号化漏れなどが該当します。クラウド情報漏えい事故の最大要因とされ、CSPM（Cloud Security Posture Management）の導入背景となっています。

2. アイデンティティと認証情報の侵害

弱いパスワード、MFA未設定のアカウント、流出した認証キーなどが起点となる脅威です。クラウドではID・APIキーの侵害が即座に大規模な被害につながるため、IDaaSとMFA、特権アクセス管理（PAM）が必須対策となります。

3. 安全でないインターフェイスとAPI

公開APIの認証不備、トークンの不適切な扱い、APIゲートウェイの設定ミスなどが該当します。API経由の不正アクセスやデータ取得が後を絶たず、API保護は専用の対策領域として確立しています。

4. データ漏えい・データ消失

クラウドストレージへの不正アクセス、削除事故、暗号化漏れによる漏えいなどが含まれます。データの所在を正確に把握し、暗号化・バックアップ・DLPで多層的に守る必要があります。

5. 内部不正と過剰権限

退職者アカウントの放置、権限の過剰付与、特権アカウントの管理不備による情報持ち出しが代表例です。最小権限の原則と定期的なアクセスレビュー（IGA）が抑止策となります。

6. アカウントハイジャック

フィッシングや認証情報詐取により、正規アカウントが乗っ取られる脅威です。MFAと条件付きアクセス、不審ログインの検知（UEBA）で防御します。

7. シャドーIT・シャドーAI

情シスの把握外で導入されたSaaSや生成AIサービスから、機密情報が外部に漏えいするリスクです。CASBやSaaS統合管理プラットフォームによる可視化が求められます。

8. サプライチェーン攻撃

利用しているSaaSやクラウドベンダーが侵害され、利用者側に被害が波及するパターンです。第三者リスク管理（TPRM）とSaaSベンダー評価のプロセス化が重要となります。

参考：Cloud Security Alliance「Top Threats to Cloud Computing 2024」

参考：IPA「クラウドサービス利用のためのセキュリティ対策」

クラウドセキュリティの主要技術カテゴリ

クラウド領域のセキュリティソリューションは、特定の脅威に対応する形で複数のカテゴリに分かれています。情シス担当者がベンダーや製品を比較する際のマップとして、主要カテゴリを整理します。

CASB（Cloud Access Security Broker）

利用者と複数のSaaS／クラウドサービスの間に位置し、可視化・データ保護・脅威防御・コンプライアンス監視を提供するソリューションです。シャドーITの検出やDLP統合に強みがあります。

CSPM（Cloud Security Posture Management）

IaaS・PaaS環境の構成情報を継続スキャンし、設定ミスやコンプライアンス違反を検出する仕組みです。AWS・Azure・GCPの設定不備をベンチマーク（CIS Benchmark等）に照らして評価します。

CWPP（Cloud Workload Protection Platform）

仮想マシン、コンテナ、サーバーレスといったクラウドワークロードを保護するプラットフォームです。脆弱性スキャンとEDR的な振る舞い検知を組み合わせます。

CNAPP（Cloud Native Application Protection Platform）

CSPMとCWPP、KSPM（Kubernetes向け）などを統合した次世代カテゴリです。コードからクラウドまで、開発ライフサイクル全体を一気通貫で守る思想で設計されています。

SASE／SSE（Secure Access Service Edge／Security Service Edge）

ネットワークとセキュリティをクラウドで統合提供する枠組みです。SWG・CASB・ZTNA・FWaaSをまとめて配信します。リモートワーク主体の環境でとくに有効です。

IDaaS／IGA（Identity as a Service／Identity Governance）

クラウドサービスへのアクセスをアイデンティティ起点で制御する基盤です。SSO、MFA、条件付きアクセス、アクセスレビューを担います。

DLP・暗号化・トークナイゼーション

機密データの検知・分類・保護を行う技術カテゴリです。クラウド固有のDLP（CASB統合型）と、データレイヤーの暗号化／鍵管理（KMS／HSM）が組み合わせて使われます。

参考：Gartner「Magic Quadrant for SSE」

クラウドセキュリティのガイドラインと規格

クラウドセキュリティは、業界団体や政府機関が公開するガイドライン・規格に沿って設計するのが基本です。代表的なものを整理しておくと、自社のセキュリティポリシー策定や監査対応に役立ちます。

NIST SP 800-204／SP 800-207

米国NISTが発行するクラウド／ゼロトラスト関連ガイドラインです。SP 800-207は「ゼロトラストアーキテクチャ」を体系化した文書として、世界的な参照基準になっています。

ISO/IEC 27017・27018

クラウドサービスのセキュリティ管理策（27017）と、クラウド上の個人情報保護（27018）を定めた国際規格です。ISMS認証取得時に併せて取得するケースが増えています。

CSAクラウドコントロールマトリックス（CCM）

Cloud Security Allianceが公開するクラウド統制フレームワークです。世界中のクラウド利用組織のベストプラクティスとして広く参照されています。

経済産業省・総務省ガイドライン

国内では、経済産業省「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」、総務省「中小企業等担当者向けクラウドサービス安全利用の手引き」などが公開されています。日本の法令・商慣行を踏まえた整理として参考になります。

政府情報システム向けISMAP

政府情報システム向けに、安全性が評価されたクラウドサービスを登録する制度です。一般企業でも、ベンダー選定時の客観基準として参照する動きが広がっています。

参考：NIST SP 800-207 Zero Trust Architecture

参考：ISMAPクラウドサービスリスト

クラウドセキュリティ対策の実践ステップ

クラウドセキュリティは「ツールを入れて終わり」ではなく、ガバナンス・運用設計・継続改善のプロセスとして取り組む必要があります。情シスが取り組みやすい5ステップを示します。

ステップ1：利用クラウド・SaaSの棚卸し

まず、自社が利用しているクラウドサービスを、契約・部門別に網羅的にリスト化します。シャドーITも含めて把握するため、CASBやSaaS統合管理プラットフォームの可視化機能を活用すると精度が高まります。

ステップ2：責任範囲とリスクの整理

各サービスのサービス形態（IaaS/PaaS/SaaS）を分類し、責任共有モデルに基づいて自社が負う責任を明確化します。あわせて、データの機密度、業務影響度、規制要件を整理し、リスク優先度を決めます。

ステップ3：基本対策の実装

利用者側の責任範囲について、最低限実装すべき対策を統一基準として整備します。MFA有効化、最小権限の徹底、暗号化設定、ログ取得、定期バックアップなどが該当します。MicrosoftやAWSの提供する「セキュリティベースライン」をテンプレートとして利用すると効率的です。

ステップ4：継続的なモニタリング

CSPMやSIEM、CASBを使い、構成ドリフト・不審アクセス・設定違反を継続的に監視します。検知されたアラートをトリアージし、対応ルールを整備することで、運用が形骸化しないようにします。

ステップ5：定期レビューと改善

四半期・半期単位で、アクセス権限の棚卸し、ポリシー違反の傾向、新たに導入されたSaaS、ベンダー評価結果をレビューします。レビュー結果を踏まえてポリシーや基準を継続的に更新する仕組みが、クラウドセキュリティ運用の成熟度を高めます。

参考：AWS セキュリティのベストプラクティス

関連記事：ゼロトラストとは｜SaaS時代の新しいセキュリティアーキテクチャ

関連記事：CASBとは｜クラウド利用の可視化と統制を実現する仕組み

クラウドセキュリティ用語集

クラウドセキュリティ周辺で頻出する用語を整理します。社内ドキュメントやベンダー選定時の共通言語として活用ください。

• 責任共有モデル：クラウド事業者と利用者の責任範囲を定義する考え方
• CASB：クラウド利用の可視化・制御を行うブローカー型ソリューション
• CSPM：クラウド構成のセキュリティ姿勢を継続評価する仕組み
• CWPP：クラウドワークロードを保護するプラットフォーム
• CNAPP：CSPM・CWPP等を統合した次世代クラウドセキュリティ
• SASE：ネットワークとセキュリティをクラウドで統合する枠組み
• SSE：SASEのうちセキュリティ機能を切り出したカテゴリ
• ZTNA：ゼロトラストの原則に基づくリモートアクセス
• IDaaS：認証・SSOをクラウド提供するサービス
• IGA：アイデンティティとアクセス権限を統制する仕組み
• DLP：機密データの漏えいを検知・防止する技術
• KMS：暗号鍵を管理するサービス（AWS KMS、Azure Key Vaultなど）
• ISMAP：政府情報システム向けのクラウド安全性評価制度
• CIS Benchmark：構成のセキュリティ基準を示すベンチマーク

SaaS統合管理から始めるクラウドセキュリティ

クラウドセキュリティに本格着手しようとすると、IaaSのCSPM、SaaSのCASB、ZTNAやIDaaSなど多数のカテゴリを同時に整える必要が見えてきます。一気通貫で揃えるには予算も人員も限られるなか、現実的な「最初の一歩」を考えると、SaaS領域の可視化と統制から着手するアプローチが有効です。

多くの企業でSaaSに業務データが集中するようになっており、SaaSアカウント・利用状況・アクセス権限の見える化が、漏えいリスクと内部不正リスクの双方を一気に下げます。シャドーIT検出、退職者アカウントの自動取り消し、ライセンスの最適化までをまとめて対応できるのが、SaaS統合管理プラットフォームの役割です。

ジョーシスのプラットフォームは、350以上のSaaSアプリとAPI連携してアカウント・利用・コストを一元的に把握し、入退社・人事異動と連動した自動プロビジョニングを実現します。国内外700社以上で活用されており、事例によってはIT工数を最大50%・ITコストを最大75%削減したケースもあります（効果は個社の状況により異なります）。CASB／CSPMの導入と並行して、SaaS層のガバナンスを軽量に整える起点としてご活用いただけます。

クラウドセキュリティに関するよくある質問

クラウドセキュリティの検討時に情シス担当者から寄せられる質問を整理します。

クラウドはオンプレミスより危険なのでしょうか？

一概には言えません。大手クラウド事業者はオンプレミスより高水準のセキュリティ投資を行っているケースが多く、設定と運用が適切であればオンプレミスより堅牢に保てる場合もあります。リスクの中心は「責任共有モデル上の利用者責任範囲」にあるため、設定ミスやアクセス権管理の不備を抑える運用が成否を分けます。

CASBとCSPMはどちらを先に導入すべきですか？

利用クラウドの構成によります。SaaS利用が業務の中心ならCASBやSaaS統合管理プラットフォームから、IaaS・PaaS開発を多用しているならCSPMから着手するのが定石です。両領域の利用度合いを棚卸ししたうえで、リスクの高い領域から優先的に着手することをおすすめします。

ゼロトラストとクラウドセキュリティはどう関係していますか？

ゼロトラストは「社内外を問わずすべてのアクセスを検証する」設計原則で、クラウドセキュリティはその原則を実装する具体領域です。ZTNA、IDaaS、CASB、CSPMといった具体製品はいずれもゼロトラスト推進の構成要素となります。

中堅企業でもクラウドセキュリティに本格投資すべきですか？

業種・データ機密度・規制要件次第で判断が変わりますが、SaaS利用が業務の中心になっていれば中堅企業でも基本対策は必須です。MFA・最小権限・退職者アカウント管理といった「土台部分」を整え、そのうえでCASB／CSPMといった専用ツールに段階的に拡張していく流れが現実的です。

クラウドセキュリティとサイバー保険は両立できますか？

両立するだけでなく、相互補完の関係にあります。クラウドセキュリティ対策（MFA・ログ監視・CSPMなど）を整備することで、サイバー保険の引受審査において有利に評価されるケースが増えています。一方でサイバー保険は、対策をすり抜けたインシデント発生後の損害補填を担うものです。セキュリティ対策とサイバー保険を車の両輪として位置付けることで、残余リスクへの対応力が高まります。

まとめ｜クラウドセキュリティは「責任共有」と「継続運用」が鍵

クラウドセキュリティは、責任共有モデルを正しく理解し、利用者側の責任範囲を構造化して守ることが出発点になります。CASB・CSPM・SASE・IDaaSといった主要カテゴリは、それぞれ異なる脅威に対応する道具立てであり、自社のクラウド利用実態に合わせて優先順位をつけて整備するのが現実的です。

そして最も重要なのは、ツール導入で完結させず、棚卸し・基本対策・モニタリング・定期レビューのサイクルを継続的に回すことです。クラウドサービスは日々更新されるため、ポリシー・権限・設定基準を継続的に更新する必要があります。

SaaSが業務の中心になっている企業では、SaaS統合管理プラットフォームによる可視化と自動化が、クラウドセキュリティ強化の足がかりとして有効です。ジョーシスは、SaaS層の見える化・退職者アカウント自動取り消し・利用状況分析を一体化したプラットフォームとして、国内外700社以上で活用されています。まずは資料ダウンロードや無料デモで、自社環境への適用イメージを確認してみてください。

関連記事：ゼロトラストとは｜SaaS時代の新しいセキュリティアーキテクチャ

関連記事：CASBとは｜クラウド利用の可視化と統制を実現する仕組み

関連記事：SASEとは｜ネットワークとセキュリティの統合アーキテクチャ

Josysでクラウドセキュリティを強化する

事例によってはIT工数を最大50%・ITコストを最大75%削減したケースがあります。（効果は個社の状況により異なります）

資料ダウンロード（無料）

無料デモを申し込む