総務省、「クラウドサービス利用・提供における適切な設定のためのガイドライン」を公表

総務省｜報道資料｜「クラウドサービス利用・提供における適切な設定のためのガイドライン」（案）に対する意見募集の結果と「クラウドサービス利用・提供における適切な設定のためのガイドライン」及び「ASP・SaaSの安全・信頼性に係る情報開示指針（ASP・SaaS編）第3版」 の公表

総務省のページに、2022年10月31日付けで公開されている。

短時間で振れるためには「クラウドサービス利用・提供における適切な設定のためのガイドラインの概要」は別紙3の参照

• 留意すべき責任共有モデル

• クラウドの設定項目の類型と設定不備の場合のリスク

• 設定不備の要因と対策（クラウドサービス利用側）

• クラウドサービス利用側に求められる対策

（参考）利用側のベストプラクティス例

昨今、Webアプリケーションに係わる重大な脆弱性が見つかっており（Log4Shell、Spring4Shellなど）、パブリッククラウドのセキュリティ対策の重要性は益々高まってきていると思う。

パブリッククラウドのセキュリティを考える場合、ステークホルダーを洗い出して、必要なセキュリティの知識やセキュリティツールを考える必要があると思う。このガイドラインにおいても「想定読者」として分類されている。

以下は、個人的な分類をまとめておく（改善必要）

1. CISO・セキュリティ管理者

   • 可視化やインシデント対応

   • WAF、ゼロトラストネットワーク対策、開発者リモートアクセス対策

2. クラウドサービス管理者

   • IAM・ポリシー管理、データ保護、「Security by Design」の設計

3. 開発者

   • 脆弱性対策、CI/CD pipelineセキュリティ、「Sift Left」対策

クラウドセキュリティはステークホルダーが異なる役割を担い、それぞれが知識とツールを使える環境整備が必要となるため、早期に学習していきたい内容。