コピー完了

記事TOP

クラウドサービスを“管理しきれない”リスク - 人材不足3割が実感、教育急務

公開日:
企業でのクラウドサービス導入が進むにつれ、これらを“管理しきれないリスク”が浮き彫りになってきた。全体像を把握して適切なセキュリティ対策を施すべきだが、企業の管理能力を上回るほどのサービスが利用されており、対応が十分でないという。BYODや設定ミスもデータ流出リスクの一因だ。ただし企業の3割は、セキュリティ担当者の不足を問題点に挙げる。

拡大するクラウド市場だが

調査会社のガートナーによると、クラウド市場の将来は明るいらしい。パブリッククラウドサービス市場の2020年における売上高は2,664億ドル(約29兆2,214億円)で、2019年の2,278億ドル(約24兆9,874億円)に比べ17%増える見通しだそうだ。

同市場で売上高のもっとも多い分野は、1,160億ドル(約12兆7,240億円)に達するソフトウェア・アズ・ア・サービス(SaaS)だ。対して成長率は、インフラストラクチャー・アズ・ア・サービス(IaaS)がもっとも高い。対2019年比24%増を記録して500億ドル(約5兆4,845億円)へ拡大し、3位から2位に上昇する。

IaaS分野が急速に伸びる理由として、ガートナーは、最新アプリケーションの利用に必要なインフラを従来型データセンターだと賄えないため、IaaSに対する需要が高まっている、とした。

クラウド環境は外部からのアクセスが比較的容易なので、サイバー攻撃の標的にされやすい。当然、クラウド向けセキュリティ製品やサービスを導入する企業が増え、IDC Japanは国内クラウド・セキュリティ市場の規模を、2018年が114億円、2023年が273億円と予測。その間の年平均成長率(CAGR)を19.1%と見込む。

ただし、現状のセキュリティ対策は不十分だという。

クラウド利用は“管理能力を上回る”

企業でクラウドを利用する際の危険性については、マカフィーの公表した調査レポート「クラウドの採用とリスクに関するレポート」が参考になる。

同社が11カ国で1,000社を対象に調査したデータと、クラウド・サービス利用企業から収集したイベント情報を分析したところ、管理しきれないほどクラウド上にデータが分散している、という状況が浮かび上がった。

機密データ保護の甘さ

マカフィーの調査では、全体だと79%、日本だと85%の企業が機密データをパブリッククラウドに保存していた。企業が利用を承認しているクラウドサービスの数は、全体だと平均41種類、日本だと平均52種類だったという。ところが、マカフィーは、「何千ものクラウドサービスが、未検証のまま限定的に利用されています」とした。

そんな機密データがクラウドから流出すると大問題だろう。それにもかかわらず、クラウドサービスでは91%が保持データを暗号化していないとのことだ。この状態でクラウドサービスが攻撃を受けると、暗号化されていないデータはまったく保護されず、簡単に盗まれかねない。

クラウドサービス同士を連携させる便利なツールもリスクだ。同一サービス内や他サービス間でのデータ移動が容易なので、クラウドサービスに保管されるファイルの49%が共有されてしまうという。その結果、どのようなデータがどこに保存されているか把握しにくくなり、セキュリティ対策も困難になる。

BYODの取り扱いに注意

企業における個人所有デバイスの使用(BYOD:Bring Your Own Device)も、セキュリティ上の弱点といえる。それなのに、全体では79%、日本では84%の企業が、個人デバイスから自社クラウドへのアクセスを認めていた。

そして、データの使い方などを把握できない未管理の個人デバイスにクラウドから機密データをダウンロードされたことのある企業は、全体で26%、日本で32%にのぼった。これでは、いくらクラウド環境のセキュリティを高めたとしても、データ流出が簡単に発生してしまう。

設定ミスが大きな痛手に

未暗号化の件でも分かるように、クラウド環境のセキュリティを確保する責任は利用者自身にある。しかし、この点を見落とし、「セキュリティはクラウドプロバイダーが完璧に処理している」と思い込みがちらしい。

ただでさえセキュリティの甘いところにクラウド設定でミスを犯すと、不正アクセスを簡単に許してしまう。マカフィーによると、クラウド環境固有のデータ漏えいは、そのほとんどがクラウド環境の構成エラーか設定ミスに起因するという。

また、IaaSの設定監査が可能なセキュリティツールを使っている企業は26%にとどまり、多くの企業が設定ミスを認知できない状況にあった。複数プロバイダーからクラウドサービスを利用していると、監査は余計に難しい。「企業のIaaS環境での設定ミスの99%が見過ごされ」(マカフィー)、侵入へのドアが開け放たれているのだ。

3割がセキュリティ担当者不足を実感

クラウドサービスを安全に使うには、利用者である企業が自らセキュリティを確保しなければならない。

それでも十分な対策が施されないのには、理由がある。マカフィーの調査によると、全体の30%、日本企業の28%から、保護技術を有するスタッフが足りないとの回答があった。人材不足に対処するカギは社内教育なのだが、急速なクラウドサービス採用のペースに追従できていない。

教育の重要性は、マイクロソフトがクラウド環境向けセキュリティ対策として挙げたアドバイスのなかでも、指摘している。教育以外に、可視化の強化、ユーザー認証の簡素化、暗号化、多段階認証の導入といった推奨事項が紹介されているので、目を通しておくとよい。

WAF
選び方ガイド
資料請求後にサービス提供会社、弊社よりご案内を差し上げる場合があります。
利用規約とご案内の連絡に同意の上
この記事が良かったら、いいね!をしてください!最新情報をお届けします!
御社のサービスを
ボクシルに掲載しませんか?
月間1000万PV
掲載社数3,000
商談発生60,000件以上
WAFの最近更新された記事