― クラウドの前提を理解する ―
1-1 クラウドとは何か?
■ クラウドの本質
クラウドとは、
「自社で持たないIT」 です。
サーバーを購入せず、
データセンターを持たず、
インターネット経由でIT資源を利用する仕組みです。
しかし本質はそれだけではありません。
クラウドとは、
「物理管理から論理管理への転換」
です。
■ オンプレミスとの違い
| 項目 | オンプレ | クラウド |
| サーバー | 自社所有 | 事業者所有 |
| 物理管理 | 自社 | 事業者 |
| 設定管理 | 自社 | 原則自社 |
| 初期投資 | 高額 | 低額 |
| 拡張性 | 低い | 高い |
重要なのは、
クラウドでも“管理責任は消えない” ということです。
■ SaaS / PaaS / IaaS の違い
● SaaS(Software as a Service)
例:Google Workspace、Salesforce
アプリをそのまま利用。
利用者の責任は主に「アカウント管理」。
● PaaS(Platform as a Service)
例:Firebase、Heroku
アプリ開発基盤を利用。
設定・権限管理の責任が増える。
● IaaS(Infrastructure as a Service)
例:AWS EC2、GCP Compute Engine
仮想サーバーを利用。
OS、ネットワーク、アクセス制御まで自社責任。
■ 共有責任モデル(最重要)
クラウドは安全ではありません。
正しくは、
「安全に使える設計思想」
です。
責任の分解
| 領域 | 事業者 | 利用者 |
| データセンター | ✔ | |
| 物理サーバー | ✔ | |
| ネットワーク基盤 | ✔ | |
| OS設定 | ✔(IaaS) | |
| アクセス管理 | ✔ | |
| データ保護 | ✔ |
つまり、
事故の多くは“利用者側の設定ミス”です。
1-2 クラウドで起きる事故の本質
クラウド事故の多くは
「高度なハッキング」ではありません。
単純な設定ミスです。
■ 誤設定事故
・ストレージを公開設定にしてしまう
・開発環境を本番公開してしまう
・デバッグ機能を止め忘れる
攻撃ではなく、「公開」している状態。
■ アクセス権限漏れ
・退職者アカウント削除忘れ
・全社員に管理者権限
・共有アカウント使い回し
最小権限の原則が守られていない。
■ APIキー流出
・ソースコードに直接記載
・GitHubに誤って公開
・チャットに貼り付け
APIキーは「鍵」です。
鍵をネットに置けば、誰でも使えます。
■ GitHub公開事故
実際に多い事故。
・.envファイル公開
・秘密鍵流出
・クラウド接続情報漏洩
GitHubは攻撃者も常時監視しています。
公開から数分で悪用されるケースもあります。
🔎 事故の本質
攻撃者は「侵入」していない。
企業が「開けている」。
1-3 情報資産とは何か?
守るべきものを理解していなければ、防げません。
■ 個人情報
・氏名
・住所
・メール
・電話番号
漏洩時の法的責任が大きい。
■ 顧客データ
・購買履歴
・契約情報
・行動ログ
信頼損失に直結。
■ ソースコード
・サービスの中身
・設計思想
・APIキー
競争力そのもの。
■ 経営情報
・財務データ
・M&A情報
・未公開戦略
漏洩=市場信用低下。
🎯 演習課題
「あなたの会社の情報資産を洗い出せ」
以下の形式で整理してください。
| 資産 | 保存場所 | 管理者 | 漏洩時の影響 |
ポイント:
・クラウド上のどこにあるか
・誰がアクセスできるか
・暗号化されているか
📊 LEVEL1 到達目標
✔ SaaS / PaaS / IaaSの違いを説明できる
✔ 共有責任モデルを理解している
✔ クラウド事故の本質を説明できる
✔ 自社の情報資産を列挙できる
🧠 このレベルで最も重要な理解
クラウドは安全ではありません。
「便利なだけ」です。
安全かどうかは、
あなたの設定次第です。
🛡 クラウドセキュリティ力とは何か
このレベルで育てるのは、
技術ではなく
前提認識です。
最も危険なのは
「うちは大丈夫」という思考。