■ 全体設計思想
クラウドセキュリティ力 =
① 原理理解
② リスク想像力
③ 設計判断力
④ インシデント対応力
⑤ 経営視点
この5層を段階的に積み上げます。
【LEVEL 1】基礎理解編
― クラウドの前提を理解する ―
1-1 クラウドとは何か?
- オンプレとの違い
- SaaS / PaaS / IaaSの違い
- 共有責任モデル
1-2 クラウドで起きる事故の本質
- 誤設定事故
- アクセス権限漏れ
- APIキー流出
- GitHub公開事故
1-3 情報資産とは何か?
- 個人情報
- 顧客データ
- ソースコード
- 経営情報
▶ 演習:
「あなたの会社の情報資産を洗い出せ」
【LEVEL 2】攻撃理解編
― 攻撃者の視点を知る ―
2-1 よくある攻撃手法
- フィッシング
- ランサムウェア
- パスワードリスト攻撃
- 内部不正
2-2 クラウド特有の攻撃
- IAM悪用
- API濫用
- ストレージ公開設定ミス
- SaaS乗っ取り
2-3 実際の事故ケーススタディ
- 国内外事例分析
- 何が原因だったか?
- 防げたポイントは?
▶ 演習:
「もし自社で起きたら損失はいくらか?」
【LEVEL 3】設計力編
― 安全な設計ができる人材になる ―
3-1 アクセス管理設計
- 最小権限の原則
- 多要素認証
- ロール管理
3-2 データ保護設計
- 暗号化
- バックアップ
- ログ管理
3-3 クラウド設定の落とし穴
- S3公開設定
- Vercel / GitHubの注意点
- APIキー管理
▶ 実践課題:
「安全なクラウド構成図を書け」
【LEVEL 4】運用力編
― 事故を未然に防ぎ、起きても止血できる ―
4-1 日常チェック項目
- アクセスログ確認
- アカウント棚卸
- 権限再確認
4-2 インシデント対応フロー
- 発見
- 切断
- 原因調査
- 再発防止
4-3 経営報告の仕方
- 何をどう説明するか
- 損害試算
- 信頼回復戦略
▶ 模擬訓練:
「GitHubからAPIキー流出した場合の対応を作成せよ」
【LEVEL 5】経営・戦略編
― セキュリティを競争力に変える ―
5-1 セキュリティはコストか?
- 信頼の資本化
- BtoBでの優位性
- 上場審査での重要性
5-2 セキュリティ文化の作り方
- 全社員教育
- 年1回テスト更新
- 1,000点満点制度
5-3 クラウド・バイ・デフォルトと国家戦略
- 日本政府方針
- なぜクラウド前提なのか
- 今後の規制強化
▶ 最終課題:
「自社のクラウドセキュリティ戦略を策定せよ」
📊 学習設計フォーマット
✔ 各ステージ構成
- テキスト学習
- 図解理解
- ケーススタディ
- クイズ(1000点満点)
- 実践課題
🎯 到達レベル定義
| ステージ | 到達レベル |
| 1 | 用語を理解している |
| 2 | リスクを想像できる |
| 3 | 安全設計ができる |
| 4 | 事故対応ができる |
| 5 | 経営判断ができる |
🧠 クラウドセキュリティ力の本質
最も重要なのは
「事故は必ず起きる」という前提に立てるかどうか。
楽観は最大のリスク。
セキュリティとは
“想像力の総量”です。