米インテル セキュリティは2月13日(現地時間)、クラウドのセキュリティーに関する年次レポートの第2回目となる「Building Trust in a Cloudy Sky(クラウド環境の信頼性の向上―クラウドの普及度とセキュリティの現状)」を発表した。
同レポートでは、日本を含む世界12ヵ国2000人以上のIT担当者を対象に実施した調査結果から、現在のクラウド導入状況やシャドーITの影響などについて考察している。
パブリッククラウドサービスの信頼性と認知度は、年々向上しており大多数の組織はクラウドサービスがプライベートクラウドと同じかそれ以上に安全であり、クラウドサービスにより所有コスト(TCO)の削減やデータ全体の可視化を実現できると考えているという。
「パブリッククラウドを信頼するか」という質問に対しては日本の回答者の73%が信頼すると回答した。信頼性と認知度が向上し、経営陣によるリスクの理解度も高まったことからますます多くの企業がパブリッククラウドに機密データを保存する傾向にあるとしている。パブリッククラウドに保存される可能性が最も高いデータは顧客の個人情報で、日本の回答者の63%が実際に顧客の個人情報をパブリック クラウドに保存している。
セキュリティースキル不足の問題は、クラウドの導入に影響を与えていることも判明した。日本の回答者の43%が、サイバーセキュリティーに関するスキル不足が原因でクラウドサービスの導入や利用が遅れており、それが会社の管理下にないIT機器を業務に活用するシャドーITの増加につながっている可能性があると回答した。日本では過半数となる53%の回答者は、スキル不足はあるもののクラウドは継続的に利用していると回答しており、スキル不足の問題はないという回答は、世界12ヵ国平均で15%で、日本は調査対象国では最低となるわずか4%だった。
企業が利用しているクラウドサービスのおよそ40%はIT部門が関与しておらず、シャドーITの可視性は、12ヵ国平均で昨年調査の50%から今年はおよそ47%に低下している。こうした状況に対して世界12ヵ国の66%、日本の57%のIT担当者がクラウドの安全とセキュリティーを確保できなくなっていると考えている。また、回答者の半数以上がクラウド型SaaSアプリケーションがマルウェア感染の原因となったことがあるとも回答した。
今回の調査では、パブリッククラウドの利用に際して日本はセキュリティースキルの不足が最も大きな懸念点になっていることが明らかとなった。IaaSとSaaSのそれぞれの利用に際しての懸念点について質問したところ、IaaSの利用で40%、SaaSの利用で42%の回答者がIT担当者のセキュリティースキル不足を挙げている。この割合は12ヵ国平均(IaaSで26%、SaaSで22%)よりも大幅に高くそれぞれの調査対象12ヵ国中、最も高い割合となった。
インテル セキュリティは、クラウドのセキュリティーを向上させるための対策として以下のような方法を提案している。
- 攻撃者は最も攻撃しやすい標的を探すので、組織内のすべてのサービス全体を可視化できる統合型のセキュリティーソリューションを導入する。
- ユーザーや管理者の認証情報は、攻撃対象になる可能性が高い情報なので、組織は個別のパスワード/多要素認証/生体認証などの認証関連のベストプラクティスを取り入れる。
- 既存のセキュリティーシステムにデータ漏洩防止/暗号化/クラウドアクセスセキュリティーブローカー(CASB)などのセキュリティ技術を統合して可視性が向上させる。
- クラウドファースト戦略の採用を検討し、問題が発生してから対応するのではなく、先を見越したセキュリティー運用を実施する。