Gotoです。

総務省が“クラウド設定ミス”対策のガイドライン公開　まずは素案、パブコメも募集

https://www.itmedia.co.jp/news/articles/2207/25/news185.html

ITmediaより引用

クラウド設定ミスでの情報漏洩やトラブルが多発したことをうけて、
総務省がクラウド設定ミスについてのガイドラインを公開し、
パブリッシングコメントの募集もはじめたようです。

正直、現在のPaaSやIaaSは多機能になりすぎて、
技術者がすべて把握するのが困難になりつつあり、
とりあえずデフォルトでという方も多いのはないでしょうか？

しかし、そもそも日本発のサービスではない海外ベンダーのサービスだけに、
「とりあえず一番使いやすくはするけど、安全は自分で考えてね」
というあくまでスタート地点を提供するというスタンスであることを、
今一度認識するべきだと私は考えます。

セキュリティーと利便性はシーソーゲームのようなものです。
究極のセキュリティーは「アクセスできないこと」ですので、
アクセスできないから解除していくのか、少しづつ制限していくのか、
これは技術者によってアプローチが違うでしょう。

あくまで私見ですが、フルブロックから解除していくというのが、
本来はより強固なセキュリティーになるのでしょうが、
現実には動かないものが多発して、いつまでたってもリリースできない！！
なんてことがよく起こります。
ですので、最低限の対策をしたうえで動作を確認しながら、
少しづつ制限を増やしていくというのが現実解であると考えております。

このようなセキュリティー対策に正解はありません。
最新の情報を常に得て、しかるべき対策を怠らない。
これこそが自社サービスでのトラブルを防ぐ唯一の方法かもしれませんね。