データの暗号化やバックアップは当然として、オフライン環境でのバックアップ保管、災害時の代替経路の確保、インシデント時の初動手順(プレイブック)を整えておくことが欠かせない。
机上のマニュアルではなく、定期的な訓練で「動く手順」にしておくことが重要だ。BCP(事業継続計画)を絵に描いた餅にしてはならない。実際、近年の被害企業の多くは、バックアップ自体が攻撃によって暗号化・破壊され、復旧不能に陥ったケースもある。「守る」より「戻す」力の強化こそが、次世代の危機管理のカギといえる。
クラウドへの信頼を前提に「監視」を
今後、クラウドを狙った攻撃はさらに巧妙化していくだろう。生成AIによる高度なフィッシング、MFA疲労を狙うソーシャルエンジニアリング、API連携の脆弱性を突く侵入など、攻撃の焦点は「人と設定」に移っている。
一方で、各国政府や規制当局もクラウドセキュリティの監査や法的責任を強化しており、「できる」だけでなく「実施している証拠」を求められる時代に入った。
企業にとって重要なのは、クラウドを“信頼して任せる”のではなく、“信頼を前提に監視し続ける”姿勢を持つことだ。そして、サプライチェーン全体を見渡したセキュリティ統制――外部委託先への監査、契約書への対応義務条項、再委託先の可視化――を含む「第三者リスクマネジメント」が、今後の経営課題として避けて通れない。
Salesforceの情報漏洩騒動は、「クラウドが危険だ」という単純な教訓ではない。むしろ、クラウドを利用することは「安全管理の一部を他者に委ねる」という経営判断であり、そのリスクを理解したうえで活用しなければならないという現実を示した。
もはやクラウドの利用は止められない。企業は、クラウドの恩恵を享受しながらも、障害や攻撃に備えた多層防御と復旧設計を自ら整備しなければならない。「完全な安全」は幻想だが、「準備された回復」は現実に可能である。その差こそが、次の危機で生き残る企業と、沈む企業を分けるだろう。
