デジタルを駆使してビジネスモデルを抜本的に変革（ＤＸ：デジタルトランスフォーメーション）することが叫ばれています。
では、具体的にＤＸの実現に向けて動き出すときに、有効な方法はあるのでしょうか。

その答えの一つが、クラウド環境の利用です。
SaaSであればすぐにサービスを利用することができますし、PaaSやIaaSであればサーバやネットワーク機器を調達するのと比べ、速やかに利用を開始できます。その時々のスペック要件に応じてスケールアウトやスケールアップを実施できるため、将来的に予想されるデータ量や必要となる処理能力を見越してサイジングを行う必要もありません。

一方、クラウド環境は便利に利用できる反面、利用者が認識しなければならないリスクもあります。
その一つが、『責任共有モデル』です。

クラウドの形態（ＳａａＳ、ＰａａＳ、ＩａａＳ）に応じて責任範囲は異なります。

データについては利用者側の責任範疇であることは想像に難くないかと思います。
一方で、ミドルウェアやＯＳについてはどうでしょうか。クラウド事業者が提供しているものではありますがセキュリティ上の責任はクラウド利用者の範疇となります。
下記は一例ですが、クラウド事業者が提供する認証機能やファイアウォール機能、アクセス権限機能の設定に不備があった場合に、以下のようなリスクが発生します。

実際に、AWSなどのクラウドサービスを利用していて設定内容の不備のために侵入を許してしまった事例などが近年多数報告されています。

それでは、クラウドを安全に利用するためには、一体どうすればいいのでしょうか。
クラウド利用者がとるべき行動の三か条が下記になります。

これはクラウド環境の利用だけに限った話ではありませんが、情報システムやデータを取り扱うにあたり、基本的な方針を定めておくことが大切です。
組織の中での情報セキュリティに関する役割を定めて体制を整え、各々の役割の責任範囲を明確にします。
また、クラウド環境の利用に際してのルールも定めてください。
データのバックアップ、通信の暗号化レベル、SLAは必要とするか否か、解約時のデータの取り扱い、といった具体的な検討を行うことをおすすめします。

クラウド事業者が提供する設定画面上で、適切なセキュリティ設定をすることが肝心です。
例えば、各ユーザに対して組織的に許容したアクセス権だけが与えられる設定になっているか、アクセスキーが90日ごとにローテーションされる設定になっているか、未使用のポートが無効化されているか、といったことが挙げられます。デフォルト設定のまま利用しているとセキュリティ設定が甘くなっていた、というリスクもありますので必ず確認するようにしてください。
例えば、AWSやAzure、GCPはCIS（Center for Internet Security）によるベストプラクティスが示されていますので、設定内容の是非を判断することができます。

より具体的な手段としては、セキュリティ診断の実施が挙げられます。
クラウド環境のセキュリティ診断の需要は年々高まっており、先に述べたCISのベストプラクティスに沿った設定になっているかチェックを行うものから、攻撃者視点で実際に疑似的にクラウド環境への侵入が出来ないかを試行するセキュリティ診断までその深さは様々です。自社が取り扱う情報の性質に応じてどこまでの診断が必要かを見極め、セキュリティ診断を実施することをお勧めします。
契約しているクラウド環境に必要な修正箇所を明らかにし、適切な設定をほどこして万全な状態でインターネット上で公開してください。