オラクルとKPMG、クラウドセキュリティ調査「Oracle and KPMG Cloud Threat Report 2020」発表

日本企業はクラウドの「ID／アクセス管理」「データ保護」に遅れ

2020年07月31日 07時00分更新

文● 大塚昭彦／TECH.ASCII.jp

　日本オラクルとKPMGコンサルティングは2020年7月30日、共同で実施したクラウドセキュリティに関するグローバル意識調査「Oracle and KPMG Cloud Threat Report 2020」に関する記者説明会を開催した。特にグローバルと日本の意識差にフォーカスして説明が行われ、日本企業におけるクラウドセキュリティ対策の課題と今後の指針、さらに、現在需要が高まっているリモートワークのセキュリティ対策における課題も指摘された。

「Oracle and KPMG Cloud Threat Report 2020」調査結果より。クラウドサービスの利用はグローバル／日本とも進んでいるが、日本では本格的なクラウド移行の予定が立ち遅れている

KPMGコンサルティングパートナーの澤田智輝氏、日本オラクルテクノロジー事業戦略統括ビジネス推進本部シニアマネージャーの大澤清吾氏

日本企業でもクラウド利用は進んでいるが「理解が深まっていない」

　同レポート「Oracle and KPMG Cloud Threat Report 2020」は、オラクルとKPMGがグローバルで実施している年次調査。今回は2019年12月～2020年1月にかけて、7カ国（米国、カナダ、英国、フランス、オーストラリア、シンガポール、日本）の企業／組織に所属するサイバーセキュリティおよびIT担当者750名を対象にオンライン調査が実施された。調査対象者は、自社／組織のセキュリティ製品／サービスの評価や購入、管理を担当し、パブリッククラウドの利用状況も理解している人物に限定されている。

「Oracle and KPMG Cloud Threat Report 2020」レポートおよびインフォグラフィックス（概要）はオラクルWebサイトからダウンロードできる

　説明会に出席したKPMGコンサルティングの澤田智輝氏は、まず、クラウドサービスの利用とセキュリティへの認識について、グローバルと日本の調査結果を比較するかたちで説明した。

　澤田氏はまず、日本企業におけるクラウド利用が「限定的な段階」にとどまっていることを指摘した。SaaSを利用している企業の割合は調査対象者中グローバルが89％、日本が87％、IaaSはグローバルが83％、日本が76％と、クラウドサービスの利用そのものはグローバルと変わらない程度に進んでいる（本稿冒頭の図版参照）。

　その一方で、本格的なクラウド移行を進めて「今後2年間で、半分以上のデータをクラウド移行する予定の企業」は、グローバルが49％、日本が22％と大きな差が見られる。澤田氏は、「日本の企業顧客と話をすると『クラウドの本格利用に移行する段階』あるいは『その手前の段階』にある企業が多い印象がある」と述べ、グローバルの動きと比べると数年遅れている状況と考えられると説明する。

　その背景のひとつと考えられるのが、「パブリッククラウドの安全性」に対する認識の違いだ。グローバルでは75％の企業が「オンプレミスと比較して、クラウドは安全だ」と考えているが（十分安全／少し安全と考える回答の合計）、日本ではその割合が56％にとどまる。さらに回答を「十分安全だ」に絞ると、グローバルでは40％がそう答えているのに対し、日本では21％と約半数にとどまっている。

　澤田氏は、過去2年間の調査結果から「クラウド利用が進むなかで、グローバルの企業は『どこに配慮すれば十分セキュアに使えるのか』について自信を持ってきている」と述べる一方で、日本企業の「21％」という数字は、グローバルでは2年前、2018年時点の数字と同等であることを指摘する。

　「日本企業もクラウドを使い始めてはいるが、使い方の面ではまだまだ十分に使い切れていない。あと2年ほどは時間がかかるのかなと感じている」（澤田氏）

クラウドの安全性に対する認識

　その原因として両社が指摘するのが、日本企業において「クラウドに対する理解が深まっていない」ことだ。その一例として澤田氏は、クラウド特有の「責任共有モデル」に対する理解度の調査結果を紹介した。IaaS／PaaS／SaaSそれぞれの責任共有モデルについて、グローバルと日本では理解度に大きな差が見られる。なお、責任共有モデルを完全に理解しているITセキュリティ担当役員は、グローバルは8％、日本は0％だった。

「責任共有モデル」に対する理解度の違い

CISOのクラウド理解、セキュリティ対策の自動化、AI活用がキーワード

　続いて澤田氏は、日本企業におけるクラウドセキュリティの現状について、調査結果に基づき、“People”“Process”“Technology”という3つの切り口で読み解いていった。

“People”“Process”“Technology”の3つの切り口から、日本企業におけるクラウドセキュリティの現状を説明

　まず“Poeple”については、日本企業においても、現場のIT担当技術者だけでなくCISO（最高情報セキュリティ責任者）にもクラウドセキュリティスキルが求められるようになっていることを挙げた。「クラウドセキュリティのスキルを持つCISOを採用した／採用する予定である日本企業」の割合は62％を占める。澤田氏は、経営レベルでの意思決定においてもクラウドセキュリティの知見が必要になっていると説明する。

　また“Process”では、グローバル調査でセキュリティ対策における「自動化」の動きが大きくなっていることを紹介した。いわゆるDevSecOpsのための取り組みとして、「本番環境へのワークロード移行時にセキュリティ設定を自動修正している」が44％、「設定変更やパッチ適用の自動化」が43％となっている。日本企業においても同様の動きが見られ、特に「今後3年間でパッチ適用の自動化を採用する」計画の日本企業は92％を占めた。

DevSecOpsのために設定変更／修正やパッチ適用の「自動化」に取り組む企業が多い。日本企業では特にパッチ適用の自動化を計画する企業が多い

　最後の“Technology”に関しては、セキュリティ対策の効率化／省力化のためにAI活用を検討する企業が多いことを指摘した。その背景としては、次々と新たな攻撃手法が登場するため、それに対処するためのセキュリティ製品を導入し続け、運用に大きな労力を割かねばならなくなっている企業の現状がある。「回答企業中、およそ8割が『51個以上』のセキュリティ製品を利用している。中には『250個以上』という回答もあり驚いた」（澤田氏）。

　そのため、導入検討しているセキュリティ対策でAI採用はほぼ必須となっており（95％）、AIが人間よりも効率的に処理できる攻撃検知や大量ログの分析といった分野で期待されている。