クラウドサービスを“管理しきれない”リスク - 人材不足3割が実感、教育急務
拡大するクラウド市場だが
業務におけるクラウド利用が増えている。だが、クラウド環境は外部からのアクセスが比較的容易なので、サイバー攻撃の標的にされやすい。
当然、クラウド向けセキュリティ製品やサービスを導入する企業が増え、IDC Japanは国内クラウド・セキュリティ市場の規模を、2018年が114億円、2023年が273億円と予測。その間の年平均成長率(CAGR)を19.1%と見込む。
ただし、現状のセキュリティ対策は不十分だという。
クラウド利用は“管理能力を上回る”
企業でクラウドを利用する際の危険性については、マカフィーの公表した調査レポート「クラウドの採用とリスクに関するレポート」が参考になる。
同社が11カ国で1,000社を対象に調査したデータと、クラウド・サービス利用企業から収集したイベント情報を分析したところ、管理しきれないほどクラウド上にデータが分散している、という状況が浮かび上がった。
機密データ保護の甘さ
マカフィーの調査では、全体だと79%、日本だと85%の企業が機密データをパブリッククラウドに保存していた。企業が利用を承認しているクラウドサービスの数は、全体だと平均41種類、日本だと平均52種類だったという。ところが、マカフィーは、「何千ものクラウドサービスが、未検証のまま限定的に利用されています」とした。
そんな機密データがクラウドから流出すると大問題だろう。それにもかかわらず、クラウドサービスでは91%が保持データを暗号化していないとのことだ。この状態でクラウドサービスが攻撃を受けると、暗号化されていないデータはまったく保護されず、簡単に盗まれかねない。
クラウドサービス同士を連携させる便利なツールもリスクだ。同一サービス内や他サービス間でのデータ移動が容易なので、クラウドサービスに保管されるファイルの49%が共有されてしまうという。その結果、どのようなデータがどこに保存されているか把握しにくくなり、セキュリティ対策も困難になる。
BYODの取り扱いに注意
企業における個人所有デバイスの使用(BYOD:Bring Your Own Device)も、セキュリティ上の弱点といえる。それなのに、全体では79%、日本では84%の企業が、個人デバイスから自社クラウドへのアクセスを認めていた。
そして、データの使い方などを把握できない未管理の個人デバイスにクラウドから機密データをダウンロードされたことのある企業は、全体で26%、日本で32%にのぼった。これでは、いくらクラウド環境のセキュリティを高めたとしても、データ流出が簡単に発生してしまう。
設定ミスが大きな痛手に
未暗号化の件でも分かるように、クラウド環境のセキュリティを確保する責任は利用者自身にある。しかし、この点を見落とし、「セキュリティはクラウドプロバイダーが完璧に処理している」と思い込みがちらしい。
ただでさえセキュリティの甘いところにクラウド設定でミスを犯すと、不正アクセスを簡単に許してしまう。マカフィーによると、クラウド環境固有のデータ漏えいは、そのほとんどがクラウド環境の構成エラーか設定ミスに起因するという。
また、IaaSの設定監査が可能なセキュリティツールを使っている企業は26%にとどまり、多くの企業が設定ミスを認知できない状況にあった。複数プロバイダーからクラウドサービスを利用していると、監査は余計に難しい。「企業のIaaS環境での設定ミスの99%が見過ごされ」(マカフィー)、侵入へのドアが開け放たれているのだ。
3割がセキュリティ担当者不足を実感
クラウドサービスを安全に使うには、利用者である企業が自らセキュリティを確保しなければならない。
それでも十分な対策が施されないのには、理由がある。マカフィーの調査によると、全体の30%、日本企業の28%から、保護技術を有するスタッフが足りないとの回答があった。人材不足に対処するカギは社内教育なのだが、急速なクラウドサービス採用のペースに追従できていない。
教育の重要性は、マイクロソフトがクラウド環境向けセキュリティ対策として挙げたアドバイスのなかでも、指摘している。教育以外に、可視化の強化、ユーザー認証の簡素化、暗号化、多段階認証の導入といった推奨事項が紹介されているので、目を通しておくとよい。
