クラウド・セキュリティの基礎｜3つの原則で「ITの裏側」が見えると、仕事の“判断力”が変わる

STEP4のゴールは、サーバーを構築したり、ハッカーと戦ったりすることではありません。
「この施策、進めていいか／止めるべきか」を“理由つきで判断できるようになること”です。

STEP3で自動化を始めると、仕事は確実にラクになります。

ただ同時に、こんな場面が急に増えます。

• 「この顧客データ、Googleドライブに置いていいんだっけ？」
• 「便利なツールを見つけたけど、勝手に使って問題ない？」
• 「情シスに申請したら『セキュリティ要件は？』と聞かれて詰んだ」

ここで多くの人は、どちらかに寄ってしまいます。

1. 分からないから止める（改善がストップする）
2. 分からないまま進める（＝シャドーITという地雷を踏む）

STEP4は、そのどちらでもない**「安全に前へ進むための知識」です。 いわば、STEP3で手に入れた「自動化という車」を、事故らずに運転するための交通ルールと地図**を手に入れる工程です

なぜ「クラウド・セキュリティの裏側」を知ると、仕事の判断力が上がるのか？

【ミニコラム】STEP4を飛ばすとどうなる？悪気はなかった「シャドーIT」の罠

STEP3で自動化の便利さを知ると、仕事は一気にラクになります。

しかし、STEP4（クラウド・セキュリティのルール）を知らないまま進むと、「シャドーIT（会社の管理外で勝手に動くIT）」という見えない地雷を踏むことがあります。

ここで紹介するのは、すべて実際によくある・悪気のない失敗です。

※どれも本人は「便利にしよう」と思ってやったことばかりです。

ケース1：「リンクを知っている全員」の悲劇（鍵をかけ忘れた部屋）

• やったこと： 「毎回権限申請が来るのが面倒だから」と、共有設定を 『リンクを知っている全員が閲覧可』 に変更。
• 起きたこと： URL付きメールが誤送信され、社外の人が顧客名簿を閲覧。結果、情報漏洩事故としてプロジェクト停止。
• 👉 何が問題だった？： 「誰が見られるか」を把握していなかった（＝鍵をかけずに玄関を開けっ放しにしていた状態）

ケース2：「個人のGmail」の悲劇（会社の金庫を自分のバッグに入れた）

• やったこと： 「会社スマホは制限が多いから」と、業務データを個人のGmailに転送して外で作業。
• 起きたこと： フリーWi-Fi経由でウイルス感染。個人スマホが踏み台になり、会社データが流出。
• 👉 何が問題だった？： データの“住処（置き場所）”を勝手に変えた（＝会社の重要書類を私物で持ち歩いたのと同じ）

ケース3：「退職者の亡霊」の悲劇（使われていない鍵で動くシステム）

• やったこと： 退職者Aさんのアカウントで動いていた自動化を、「今は動いているから」と放置。
• 起きたこと： Aさんのアカウント削除と同時に自動化が停止。部署全体の業務が3日間ストップ。
• 👉 何が問題だった？： 「誰の鍵で動いているか」を意識していなかった（＝退去後の鍵を交換していなかった状態）

結論：事故の原因は「知識不足」ではなく「構造の見落とし」

これらの失敗に共通するのは、スキル不足でも注意不足でもありません。

「データはどこにあり、誰が鍵を持っているか」——この2点を考えていなかっただけです。

そして重要なのは、どれも STEP4の知識があれば“事前に気づけた事故” だということ。

クラウドの正体とは？データの「住処（不動産）」で理解する

では、こうした事故を防ぐにはどう考えればいいのでしょうか。答えはシンプルです。ITを不動産（データの住処）として捉えます。

① オンプレミス（持ち家）

• 仕組み： 自社の中にサーバー（箱）を買って置く
• 特徴： 自分の敷地・自分の建物
• 注意点： 鍵・防犯・修理はすべて自己責任（自由だが管理コストが重い）

② クラウド（賃貸マンション／ホテル）

• 仕組み： AWSやGoogleなどの巨大なサーバーの一部を借りる
• 特徴： 建物（インフラ）は大家が管理。防災・警備も最初から整っている
• 注意点： 入居者はルールを守る必要がある（鍵の管理は入居者責任）

👉 重要な視点

「クラウドは危ない」は誤解です。むしろ大家（AWS/Google等）が強固に守っています。

危ないのはクラウドそのものではなく、“鍵の閉め忘れ”や“住処の混同”です。

SaaS / PaaS / IaaS を「生活」に翻訳する

クラウドは3つに分かれます。難しく見えますが、生活に置き換えると一発です。

1. SaaS：完成品を借りる
   • 例：Gmail / Zoom / freee
   • → 使うだけ。インフラは気にしなくていい
2. PaaS：キッチン付き物件
   • 例：Power Automate / GAS / kintone
   • → 料理（仕組み作り）は自分。場所（基盤）は借り物
   • ※STEP3で触ったのは主にここ
3. IaaS：土地だけ貸す
   • 例：AWS EC2 など
   • → 自由度は高いが、家づくりを自分でやる領域

---

事故の9割は「データの現在地」を意識していない

セキュリティ事故の多くは、ハッカーのような“悪意”ではなく、無自覚から起きます。データは常に移動します。「今どこにいるか」を言語化できないデータは危険です。

データは「旅」をしている

1. 入力（スマホ・PC）
2. 通信（インターネット・Wi-Fi）
3. 保存（クラウド・社内サーバー）
4. 表示（ブラウザ・アプリ）

危ないのは「ローカル」と「野良クラウド」

• ローカル（自分のPC）： 故障・紛失・USBで即アウト
• 野良クラウド（個人アカウント）： 会社の警備が効かない無法地帯

---

セキュリティの本質｜非エンジニアが守るべき「権限（鍵）の3原則」

セキュリティとは、難解な暗号を解くことではありません。「適切な人に、適切な鍵（権限）を渡すこと」に尽きます。

そして本質はこうです。セキュリティは「信頼できる人を選ぶ」話ではなく、「誰でもミスする前提で設計する」話です。

① 認証（Authentication）＝「あなたは誰？」

• IDとパスワード、多要素認証（スマホ通知など）
• 鉄則： パスワード使い回しは「合鍵を玄関マットの下」級の危険

② 認可（Authorization）＝「何をしていい？」

• 閲覧／編集／削除
• 鉄則： 全員に編集権限を渡さない（事故が起きる確率が上がるだけ）

③ 最小権限の原則（最重要）

• 作業に必要な最低限だけ持つ
• 「見られなくて困る」より、「見えちゃって大事故」を防ぐ発想

---

情報システム部（または課・担当）に信頼される人の共通点

STEP4を学ぶと、情報システム部（または課・担当）やエンジニアへの相談が通りやすくなります。なぜなら、情報システム部（または課・担当）が見ているのはツールではなく “考え方” だからです。

❌Before（止められやすい相談）

「このツール便利そうなんで、使っていいですか？」

（情シス心の声：データは？保存先は？権限は？…分からないから止めよう）

⭕ After（通りやすい相談）

「業務効率化のためにツールAを使いたいです。

扱うデータは社内用のみで、個人情報は含みません。

権限はチームの3名のみ、外部公開はオフにします。問題ないでしょうか？」

---

まとめ｜STEP4は「自動化を止めずに進めるため」のクラウド・セキュリティ基礎

STEP4は守りの知識ではありません。
STEP3で手に入れたスピードを、安心して出し切るための土台です。

1. STEP1：全体像（地図）
2. STEP2：数字（武器）
3. STEP3：自動化（分身）
4. STEP4：安全設計（判断力）

ここまで揃って、初めてあなたは「ITに強い社会人」から「ITで仕事を設計できる社会人」になります。
「知らない」はリスクですが、「分かる」は最強の武器です。

これで、あなたのIT学び直しの“基礎”は完成です。

今日やること（1つだけ）

👉 共有フォルダか自動化ツールを1つ選び、「データの住処」と「鍵を持っている人」を言葉にしてみる

（「このデータ、ここにあって大丈夫？」「関係ない人まで見えてない？」と気づけたら、STEP4は合格です）

---

次に読む記事

• STEP3：ノーコードで「手作業」を減らす｜自動化入門
• 忙しい社会人のためのIT学び直しロードマップ（全体像）
• STEP5：目的別に分岐する（キャリア設計）