DIT
サイバー攻撃の発生時に企業が受ける被害として深刻なのは『個人情報の流出』
デジタル・インフォメーション・テクノロジー株式会社(本社所在地:東京都中央区、代表取締役社長:市川 聡)は、従業員数100名以上のAWSを利用している企業の経営者・Web事業部門のセキュリティ担当者・情報システム部門担当者を対象に、「AWS利用時の課題とセキュリティ」に関する調査を実施しました。
近年、DX推進の加速に伴って「クラウドコンピューティング」に移行する企業が増加しています。
クラウドコンピューティングは、物理的なサーバーを用いた従来型の「オンプレミス」と異なり、インターネット上のクラウドサーバーを用いてデータ処理などを行う便利な手法です。
代表格とも言えるサービスは、AWS(アマゾン ウェブ サービス)ではないでしょうか。
AWS は世界で最も広く採用されているクラウドコンピューティングであり、日本においても採用する企業が増えています。
もちろん、こうしたDX推進により利便性を向上させる際には、セキュリティ対策も非常に重要となります。
サイバー攻撃の被害に遭った場合、企業は信用失墜のみならず損害賠償といった大きなリスクも負いかねません。
サービスの選定/導入においてセキュリティを最重要視している企業も多いでしょう。
セキュリティのニーズに対応するサービスとして、AWSには「 AWS WAF 」(※WAF=ウェブアプリケーションファイアウォール)というセキュリティシステムが含まれています。
しかしこのAWS WAFは、現状では有効活用に高い専門性が必要であり、導入しても上手く運用できるとは限りません。
AWSを利用している企業は、AWSの利用やAWS WAFの運用において、どのような課題に直面しているのでしょうか。
そこで今回、システム改ざん検知/復旧ソリューション『 WebARGUS 』や新機軸クラウドWAF『 WebARGUS Fortify 』を提供するデジタル・インフォメーション・テクノロジー株式会社(https://www.ditgroup.jp/)は、従業員数100名以上のAWSを利用している企業の経営者・Web事業部門のセキュリティ担当者・情報システム部門担当者を対象に、「AWS利用時の課題とセキュリティ」に関する調査を実施しました。
AWSの利用状況とコロナとの関連性
はじめに、コロナ禍が、AWSの利用にどう影響しているかについて伺っていきたいと思います。
「貴社のAWSの利用状況について、コロナ禍でのテレワーク推進、Webシステムの活用増など、コロナとパブリッククラウドへのシステムインフラ移行の加速化には関連性があると思いますか?」と質問したところ、9割近い方が『非常に関連性が高いと思う(33.1%)』『ある程度の関連性はあると思う(53.0%)』と回答しました。
コロナ禍では、あらゆる業種、職種においてデジタル化が急激に進みました。
結果からは、こうしたシステムインフラ移行の加速とコロナ禍との関連性を、9割近い方があると考えていることがわかります。
それだけAWSなどのパブリッククラウドが便利であると評価されていることの現れなのかもしれませんね。
AWS利用時の課題とセキュリティ
先程の調査では、AWSといったクラウドコンピューティングの導入が、コロナ禍の影響で拡大していることがわかりました。
しかし、急激な変化の中で戸惑いを感じるビジネスパーソンも少なくないでしょう。
ここからは、AWS利用における不安や課題についても皆さんに伺っていこうと思います。
「AWSの活用の際にどのような不安や課題をお持ちですか?(複数選択可)」と質問したところ、『セキュリティ対策(51.6%)』と回答した方が最も多く、次いで『既存システムとの互換性(42.1%)』『自由度が低い・カスタマイズがしにくい(28.4%)』と続きました。
冒頭でも触れたセキュリティに関する不安や課題についての回答が、半数を超えて最多となりました。
ネットワークを活用するシステムは、便利であればあるほどユーザー数も多いことが考えられるため、リスクが高くなりがちです。
変化が急激であるだけに、このリスクに不安を感じる方は多いのかもしれません。
セキュリティ面で最も脅威となるのはもちろん、悪意を持って不正なアクセスを図るサイバー攻撃でしょう。
このサイバー攻撃についても、皆さんに聞いてみようと思います。
「サイバー攻撃の発生時に企業が受ける被害として深刻だと思うものは何ですか?(複数選択可)」と質問したところ、『個人情報の流出(51.6%)』と回答した方が最も多く、次いで『システム破壊(38.5%)』『ビジネス機会の損失(35.7%)』『Webサイトの改ざん(35.5%)』『システム復旧費用(28.0%)』と続きました。
個人情報の流出を恐れているようですが、リスクの回避を支援すべく、市場にはすでに様々なセキュリティ製品が販売されています。
このセキュリティ製品に対する意向も、皆さんに伺いました。
「現在、パブリッククラウド上のシステムについて、導入済み、または導入を検討しているセキュリティ製品は何ですか?」と質問したところ、『IDS/IPS(30.0%)』と回答した方が最も多く、次いで『FW(29.0%)』『NGFW(13.9%)』『WAF(13.3%)』と続きました。
通信内容を監視して不正なアクセスを検知/防御する『IDS/IPS』が、セキュリティとして広く知られる『FW(ファイアウォール)』を抜いて最多となりました。
しかし、『FW』も近い数の回答を集めており、また『WAF』や次世代型ファイアウォールである『NGFW』も合わせると、その数は過半数に達します。
多くの企業、ビジネスパーソンは、セキュリティ製品としてのファイアウォールに信頼を置いていると言えそうですね。
AWS WAFの利用状況と課題
ここからは、ファイアウォールに関する皆さんの考えを明らかにするために、AWSのファイアウォールであるAWS WAFについて伺っていきましょう。
まず、「AWS WAFを導入済み、または導入を検討中ですか?」と質問したところ、4分の3以上の方が『AWS WAFを導入済みである(32.1%)』『AWS WAFの導入を検討している(43.7%)』と回答しました。
すでに導入しているAWS利用企業は3割を超え、導入を検討する企業も4割以上に達しています。
AWSとAWS WAFは同じ会社のサービスですから、連携などもスムーズでしょう。
専門知識に弱い企業などの場合は、このスムーズさも大きな魅力になっているのかもしれません。
とはいえ、専門知識がないと扱いがまだまだ難しいのがIT機器やITサービスです。
AWS WAFも、実際の利用や導入について課題を感じることもあるでしょう。
このあたりの事情も、実際に導入・検討している皆さんには聞いてみました。
「AWS WAF導入の際に抱えている課題は何ですか?(複数選択可)」と質問したところ、『新規の脆弱性の早期発見と防御のための対応がわからない(40.5%)』と回答した方が最も多く、次いで『WAFルール作成のための専門知識がなく、高い防御性能を作れない(34.5%)』『誤検知や過剰検知が発生した時、適切な対応ができない(28.4%)』と続きました。
『対応ができない』『専門知識がない』など、使う側に関する回答が多く集まりました。
確かに、高い性能を持つ製品、サービスであってもうまく活用できなければあまり意味がありません。
AWS WAFそのものというより、専門家の欠如といった人的な課題に皆さんはお悩みのようです。
企業側セキュリティ対策における認識と対応
先程の調査では、多くのAWS 利用企業がAWS WAF導入に積極的であり、かなりの企業がすでに活用していることもわかったと思います。
その一方で、こうした製品の運用については課題を感じている企業が多いことも、結果からは見えてきました。
ここからは、こうした課題の実情などに関してさらに詳しく伺っていこうと思います。
まずは、課題の解決において最も重要とも言える予算についてです。
「貴社でのIT予算における、サイバーセキュリティの年間予算(概算)を教えてください」と質問したところ、『1,000万円以上(29.8%)』と回答した方が最も多く、次いで『100万円以上300万円未満(23.6%)』『300万円以上600万円未満(21.4%)』と続きました。
回答結果からみて多くの AWS利用企業は、セキュリティに対して強い意識を持っていると言えるでしょう。
こうした予算を使ってセキュリティ製品やサービスを導入する際、皆さんはどのような点を重視して選択をするのでしょうか。
検討するポイントについても、皆さんにお聞きしてみました。
「セキュリティを導入する際に重要だと思う検討要素は何ですか?(上位3つまで選択可)」と質問したところ、『テクニカルサポート(44.8%)』と回答した方が最も多く、次いで『費用(41.9%)』『セキュリティ運用管理サービス(40.1%)』と続きました。
AWS WAFの活用に関する調査でも「専門知識がない」といった声が多く集まっていましたが、やはり多くの企業はセキュリティの運用に関する知見に不安を感じているようです。
では、セキュリティ運用に関する知見のあるセキュリティの専門家は社内にいるのでしょうか?
そこで、「貴社内にセキュリティ導入と運用・管理ができるセキュリティ専門家はいますか?」と質問したところ、『いる(74.6%)』『いない(25.4%)』という結果になりました。
7割以上の企業が、社内にセキュリティ専門家を確保していることが明らかになりました。
セキュリティサービスを導入しつつ、専門家にもお願いしていることが伺えます。
セキュリティの脆弱性は重要な問題ですが、社内ではどう考えられているのでしょうか。
そこで、「セキュリティ課題に取り組む際の最新脆弱性への対応について、貴社での重要度および優先順位はどのようになっていますか?」と質問したところ、『最新脆弱性対応は重要だが、現実問題として専門家がおらず対応できない(31.2%)』と回答した方が最も多く、次いで『最新脆弱性対応は重要で、現在適用しているセキュリティ内容で満足している(24.0%)』『最新脆弱性対応は重要だが、そこまで手が回らない(17.7%)』と続きました。
『専門家がおらず対応できない』という回答が3割以上を占めて最多となりました。
『そこまで手が回らない』という回答も合わせると、半数近い企業が最新脆弱性への対応を重視しながら、リソースの欠如から施策は打てていないことがわかります。
やはり専門家や知見を持つ人的リソースの確保は、多くの企業で問題になっていると言えるかもしれませんね。
【まとめ】最新脆弱性などセキュリティの課題も常にアップデートしている!最悪の事態に陥らないために…
今回の調査で、AWS利用企業の多くがセキュリティ対策を重要視し、セキュリティ製品としてファイアウォールなどを導入、活用していることがわかりました。
また、こうした施策の中で『対応ができない』『専門知識がない』といった人的な問題にぶつかり、『テクニカルサポート』や『運用管理サービス』を求めていることもわかったと思います。
先程も述べた通り、セキュリティの脅威は日々新たに生まれ続けるため、対応を休むことができません。
十分なリソースを確保できる規模の企業であれば社内で専門家を育成し、運用をすることも可能ですが、中小企業ではこうした施策の実施が困難でしょう。
そのため、問題に対して『専門家がおらず対応できない』といった事態になる場合が多いことも、今回の調査で明らかになった通りです。
リソースが限られた状況で新たな脅威への対応をアップデートし続ける場合、外部の運用サービスを活用するのが良いかもしれません。
外部の運用サービスであれば、育成コストなどをかけずに高い専門性が確保できますし、また限られたリソースを重要な業務に振り分けることもできます。
セキュリティ面でお悩みの方は、サービスの利用を検討してみてはいかがでしょうか。
『 WebARGUS Fortify WMS For AWS 』でご利用中のAWS WAFの最適な運用をはじめませんか?
AWS WAFをご利用中または検討中であれば、デジタル・インフォメーション・テクノロジー株式会社の『 WebARGUS Fortify WMS For AWS 』(https://fortify.webargus.com/)がおすすめです。
■ WebARGUS Fortify WMS For AWS とは?
WebARGUS Fortify WMS for AWSは、AWS WAFの適切なルール作成と反映、新規脆弱性の対応、誤検知の対応など AWS WAFの導入から利用までの一連のサイクルをセキュリティ専門家にてサポートするAWS WAFに特化した運用サービスです。
お客様の環境に最適化されたルールを反映し、脅威インテリジェンス基盤の高度化された攻撃検出性能と分析にて、セキュリティ専門家のいないお客様のWAF運用をサポート致します。
■サービス構成のオーバービュー
■導入効果
■ご利用料金
■デジタル・インフォメーション・テクノロジー株式会社:https://www.ditgroup.jp/
■WebARGUS:https://www.webargus.com/
■お問い合わせ先:https://www.webargus.com/contact/
調査概要:「AWS利用時の課題とセキュリティ」に関する調査
【調査期間】2022年2月4日(金)~2022年2月5日(土)
【調査方法】インターネット調査
【調査人数】504人
【調査対象】従業員数100名以上のAWSを利用している企業の経営者・Web事業部門のセキュリティ担当者・情報システム部門担当者
【モニター提供元】ゼネラルリサーチ
