安全でない直接オブジェクト参照は、開発者がコード内にアプリケーション側の参照を記述した場合に発生します。参照には、データベースキー、アプリケーションのディレクトリ構造、ホスティングシステムの構成情報、あるいはアプリケーションの動作に関連し、ユーザーやネットワークに公開されるべきではないその他の情報が含まれます。検証されていないリダイレクトや転送は、アプリケーションがユーザーを他のサイトに転送する機能を備えており、これらの機能がデータの検証やリクエストのリダイレクトを適切に保護していない場合に発生します。その結果、マルウェアやフィッシング攻撃によるなりすましが可能になります。機密データの漏洩は、アプリケーションが機密性の高いアプリケーションデータを保護するために十分な暗号化やその他のセキュリティ対策を講じていない場合に発生します。
セキュリティの誤った構成は、アプリケーションとシステムが適切に構成されていないか、安全な方法で維持されていない場合に発生します。

説明
クラウド顧客は、その形態に関わらず、クラウドサービスプロバイダーから「サービス」を取得または購入します。サービスには様々な形態があり、仮想マシン、ネットワーク構成、ホスティング設定、ソフトウェアアクセスなど、ほんの一例です。ホスティングとサーバー（クラウドの場合はより正確には仮想マシン）は、顧客がクラウドプロバイダーから購入する「サービス」のほんの一例です。
「顧客」は決して購入されるサービスではありません。

機密保持の主な目的は、機密情報が、それにアクセスするべきでない当事者に提供されたり漏洩したりしないようにすると同時に、適切なニーズとアクセス権限を持つ人が、そのニーズと機密保持要件に応じた方法でアクセスできるようにすることです。

認証を取得し、遵守するためには、独立した外部監査を実施し、その要件を満たす必要があります。認証管理に関する一部のテストは内部監査の一部となる場合がありますが、それだけでは要件を満たすことはできません。

「NISTクラウドコンピューティングの定義」によると、SaaSとは「消費者に提供される機能は、クラウドインフラストラクチャ上で実行されるプロバイダーのアプリケーションを使用することです。アプリケーションは、Webブラウザ（Webベースの電子メールなど）などのシンクライアントインターフェース、またはプログラムインターフェースを介して、さまざまなクライアントデバイスからアクセスできます。消費者は、ネットワーク、サーバー、オペレーティングシステム、ストレージ、さらには個々のアプリケーション機能を含む基盤となるクラウドインフラストラクチャを管理または制御しません。ただし、ユーザー固有のアプリケーション構成設定は限定的に許可される場合があります。」