情報セキュリティ・キーワード 2025 ⑦ クラウド・モバイル・IoTセキュリティ

近年普及が進むクラウド、モバイルデバイス、IoT機器特有のセキュリティ、それぞれの環境における適切な対策と管理手法に関わるキーワードを取り上げます。

• 7.1 クラウドセキュリティ（IaaS, PaaS, SaaSの特性とセキュリティ）
• 7.2 モバイルデバイスセキュリティ
• 7.3 IoTデバイスセキュリティ

7.1 クラウドセキュリティ（IaaS, PaaS, SaaSの特性とセキュリティ）

クラウドコンピューティング (Cloud Computing)
インターネット経由で、サーバー、ストレージ、データベース、ネットワーク、ソフトウェアなどのコンピューティングリソースを利用できるサービス形態。

共有責任モデル (Shared Responsibility Model)
クラウドサービス利用におけるセキュリティ責任の分担モデル。クラウドプロバイダーと利用者の間で、どの範囲のセキュリティ責任を誰が負うかを定義したもの。一般的に、プロバイダーは「クラウドのセキュリティ (Security of the Cloud)」、利用者は「クラウド内のセキュリティ (Security in the Cloud)」を担当する。

IaaS (Infrastructure as a Service)
仮想サーバー、ストレージ、ネットワークなどのインフラ部分をサービスとして提供する形態。OSやアプリケーションの管理は利用者が行う。共有責任モデルにおける利用者の責任範囲が広い。
セキュリティに関する考慮点: OSのパッチ適用、アプリケーションのセキュリティ、ネットワーク設定、データ保護など。

PaaS (Platform as a Service)
アプリケーション開発・実行に必要なプラットフォーム（OS、ミドルウェア、データベースなど）をサービスとして提供する形態。アプリケーションの開発・運用は利用者が行う。
セキュリティに関する考慮点: アプリケーションの脆弱性、認証・認可、データの暗号化、APIセキュリティなど。

SaaS (Software as a Service)
完成されたソフトウェアアプリケーションをサービスとして提供する形態。利用者はブラウザなどを通じてサービスを利用するのみで、インフラやプラットフォームの管理はプロバイダーが行う。共有責任モデルにおける利用者の責任範囲が最も狭い。
セキュリティに関する考慮点: ユーザー認証、アクセス制御、利用データの保護、SaaSプロバイダーのセキュリティ対策の評価など。

クラウドアクセスセキュリティブローカー (Cloud Access Security Broker: CASB)
クラウドサービスの利用状況を可視化し、アクセス制御、データセキュリティ、脅威防御、コンプライアンス順守などのセキュリティ機能を提供するサービス。

クラウドネイティブセキュリティ (Cloud-Native Security)
クラウド環境の特性（伸縮性、コンテナ、サーバーレスなど）に合わせて設計・最適化されたセキュリティ対策やツール。

CSPM (Cloud Security Posture Management)
クラウド環境の設定ミスやセキュリティポリシー違反を継続的に監視・検出・修正するツールやサービス。

CWPP (Cloud Workload Protection Platform)
クラウド上で動作する仮想マシン、コンテナ、サーバーレス関数などのワークロードに対するセキュリティを提供するプラットフォーム。

コンテナセキュリティ (Container Security)
DockerやKubernetesなどのコンテナ技術を利用する際のセキュリティ対策。イメージの脆弱性、ランタイムセキュリティ、ネットワーク分離など。

サーバーレスセキュリティ (Serverless Security)
AWS Lambdaなどのサーバーレス環境におけるセキュリティ対策。コードの脆弱性、アクセス権限、APIゲートウェイセキュリティなど。

クラウドDLP (Data Loss Prevention in Cloud)
クラウド環境における機密データの漏洩を防ぐ対策。クラウドストレージやSaaSアプリケーションでのデータフローを監視し、ポリシー違反を検知・ブロックする。

クラウドにおける暗号化 (Encryption in Cloud)
クラウド上に保存されるデータ（保存時暗号化：Encryption at Rest）や、クラウド内外で転送されるデータ（転送時暗号化：Encryption in Transit）を暗号化すること。プロバイダー管理鍵、カスタマー管理鍵 (CMK) などがある。

7.2 モバイルデバイスセキュリティ

モバイルデバイス管理 (Mobile Device Management: MDM)
スマートフォンやタブレットなどのモバイルデバイスを一元的に管理するためのシステム。セキュリティポリシーの適用、リモートワイプ、アプリ配信、紛失・盗難対策などを行う。

MAM (Mobile Application Management)
モバイルデバイスにインストールされているアプリケーション（特に企業向けアプリ）を管理する仕組み。データの保護、アプリケーションのアクセス制御など。

EMM (Enterprise Mobility Management)
MDMとMAMを含む、企業におけるモバイルデバイスとアプリケーションの包括的な管理ソリューション。

BYOD (Bring Your Own Device)
従業員が個人所有のデバイスを業務に利用する制度。セキュリティリスクが高まるため、適切なポリシーと技術的対策が必要となる。

リモートワイプ (Remote Wipe)
紛失・盗難されたモバイルデバイスのデータを、遠隔操作で消去する機能。情報漏洩対策として重要。

モバイルVPN (Mobile VPN)
モバイルデバイスから安全に企業ネットワークへ接続するためのVPN。

アプリ内暗号化 (In-App Encryption)
モバイルアプリケーション内で生成・保存されるデータを暗号化する技術。

モバイルアプリストアセキュリティ (Mobile App Store Security)
公式アプリストア（App Store, Google Playなど）が実施するマルウェアチェックやセキュリティ審査。非公式ストアからのダウンロードのリスク。

7.3 IoTデバイスセキュリティ

IoT (Internet of Things)
様々な「モノ」（家電、センサー、自動車など）がインターネットに接続され、相互に情報をやり取りする仕組みや概念。

IoTセキュリティ (IoT Security)
IoTデバイス、ネットワーク、クラウドプラットフォーム、データにわたるセキュリティ対

ファームウェアの脆弱性 (Firmware Vulnerability)
IoTデバイスに組み込まれたファームウェア（組み込みソフトウェア）に存在するセキュリティ上の弱点。パッチ適用が難しい場合が多い。

デフォルトパスワード (Default Password)
IoTデバイスが初期設定で持つ、工場出荷時のパスワード。変更されずに使用されると、不正アクセスに利用される最大の原因となる。

ポート開放 (Open Ports)
IoTデバイスで不必要に開かれている通信ポート。攻撃者に悪用される可能性がある。

デバイス認証 (Device Authentication)
IoTデバイスが、ネットワークやサービスに接続する際に、正当なデバイスであることを確認する仕組み。デバイス証明書などが利用される。

セキュアブート (Secure Boot)
デバイス起動時に、OSやファームウェアが改ざんされていないか検証し、正規のソフトウェアのみが実行されるようにする機能。

OTA (Over-The-Air) アップデート
無線通信を通じて、IoTデバイスのファームウェアやソフトウェアを更新する仕組み。セキュリティパッチの適用に重要だが、アップデート自体の信頼性も重要。

エッジセキュリティ (Edge Security)
IoTデバイスやセンサーなどの「エッジ」部分でデータ処理やセキュリティ対策を行うこと。クラウドへの依存度を減らし、リアルタイム性を高める。

Miraiボットネット (Mirai Botnet)
デフォルトパスワードを使用するIoTデバイスに感染し、それらをボット（ゾンビ端末）として利用してDDoS攻撃を行う大規模なボットネット。IoTセキュリティの重要性を浮き彫りにした事例。