【サイバーセキュリティ意識向上月間】クラウドリスクに潜む「人」の側面
提供: フォーティネットジャパン
本記事はフォーティネットジャパンが提供する「FORTINETブログ」に掲載された「サイバーセキュリティ意識向上月間:クラウド / アプリケーションセキュリティのベストプラクティス」を再編集したものです。
ワークロードとアプリケーションをクラウドへ移行する組織が増えるにつれて、セキュリティの責任の所在があいまいになってきました。クラウドプロバイダーはインフラストラクチャを保護しますが、それを利用する顧客のデータ、アプリケーション、およびユーザーアクセスのセキュリティは顧客自身が確保する必要があります。フォーティネットがCybersecurity Insidersと共同でまとめた「2025年クラウドセキュリティレポート」では、クラウドファーストの時代におけるサイバー意識向上の重要性が強調されています。
調査結果は明確です。76%の専門家が、サイバーセキュリティスキルの不足が彼らの組織に影響を与えていると回答しています。その一方で、クラウドの導入は加速し続けており、SaaSアプリケーション、API、およびハイブリッド環境を通じて機密データがクラウド内を行き来しています。その結果、限られた専門知識で拡大し続けるリスクに対処しなければならないという最悪の事態に陥っています。
サイバーセキュリティ意識向上月間は、クラウド環境とアプリケーション環境の保護においてすべての従業員が果たすべき重要な役割を再評価するのに理想的な機会です。
クラウドリスクに潜む「人」の側面
レポートでは、クラウドに対する侵害の多くが外部からの標的型攻撃ではなく人の過失によって引き起こされていることを明らかにしました。構成ミス、安全でないAPI、強すぎる権限を与えられたアカウントは、サイバーインシデントの主な原因の中でも突出しています。さらに厄介なことに、これらのリスクは純粋に技術的な問題ではなく、多くの場合、ユーザーや管理者が行った選択または見落としの結果なのです。
具体例:
・エンジニアがセキュリティ制御を適用せずに新しいサービスを開始する。
・ユーザーが私用のアプリと業務用のSaaSアプリで同じ認証情報を使い回す。
・開発者がAPIを外部から認証なしで利用できる状態のままにする。
これらのシナリオはいずれも、意識向上、トレーニング、責任感の共有によって防ぐことができます。
クラウド/アプリケーションセキュリティの重要な取り組み
「2025年クラウドセキュリティレポート」とフォーティネットの継続的な調査に基づいて、ITチームから日常的なユーザーまで誰もが実践するべき5つのベストプラクティスを示します。
1. 責任を共有する:自分の役割の範囲を知る必要があります。クラウドプロバイダーはプラットフォームを保護しますが、それを利用するユーザーのアプリケーション、アクセス、およびデータはユーザー自身が保護しなければなりません。
2.アイデンティティとアクセスを保護する:強力なパスワードを使用し、多要素認証(MFA)を有効にし、強すぎるアクセス権を付与しないようにします。さらに、ワークロードとアプリケーションを不正アクセスや意図しない公開から保護するために、クラウドインフラストラクチャエンタイトルメント管理(CIEM)を含むCNAPPソリューションの導入も検討する必要があります。最小限の権限をデフォルトにするべきです。
3. アプリケーション開発を強化する:開発者はCI/CDパイプラインにセキュリティテストを組み込み、安全なコーディング手法を採用する必要があります。早い段階でチェックすることで、下流の脆弱性を防止できます。
4. 構成ミスを防ぐ:クラウド環境は急速に変化することがあり、ひとつの設定を見落とすだけでデータが意図せず公開されてしまう可能性があります。定期的な見直しと構成管理の自動化が不可欠です。
5. APIとSaaSの使用状況を監視する:APIは強力なツールですが、セキュリティを確保せずに使用すると最悪の攻撃ベクトルになります。ユーザーは承認されたアプリケーションのみを接続するようにし、管理者はすべてのSaaS統合の可視性を常に維持する必要があります。
意識向上が不可欠
レポートでは特に、スキル不足が最も差し迫ったリスクの1つであることが(特にクラウド/ネットワークセキュリティなどの分野では)強調されています。このスキルギャップにより、過剰な仕事に対応しなければならないセキュリティチームが疲弊し、ミスがマルチクラウド環境内で見過ごされやすくなって、問題がさらに悪化します。これが、意識向上が選択肢ではなく必須である理由です。すべての従業員が、ファイルをSaaSアプリケーションにアップロードするときも、次のエンタープライズサービスを構築しているときも、クラウドとアプリケーションのセキュリティは彼らの役割の一部であると認識する必要があります。
ファイル共有ツールを使う前にそのツールが承認されているかどうかチェックするといった単純な手順を実行するだけで、大きな被害をもたらすインシデントを防ぐことができます。
ツールから文化へ
クラウドとアプリケーションのセキュリティという課題は、技術だけでは解決できません。従業員が自らの行動がセキュリティの結果に直接影響することを理解する、という文化面での変革が必要です。「2025年クラウドセキュリティレポート」によると、高度なセキュリティツールとユーザーの意識向上の両方に投資している組織は、そうでない組織より最近の脅威に適切に対応できています。
組織はサイバーセキュリティ意識向上月間中に、クラウドセキュリティが全員の責任であるというメッセージを強く行き渡らせる必要があります。強力なガバナンス、効果的なトレーニング、および実用的な行動規範を組み合わせることで、企業はリスクとレジリエンスの間のギャップを埋めることができます。
「2025年クラウドセキュリティレポート」をダウンロードして、ぜひ詳細をご確認ください。
この記事の編集者は以下の記事もオススメしています
-
sponsored
世界規模で拡大するUpCrypter攻撃、Windows環境で情報窃取が急増 -
sponsored
【サイバーセキュリティ意識向上月間】基本はやはり「フィッシング対策」と「ソフトウェア更新」 -
sponsored
「人手不足でも守れるセキュリティ」フォーティネット、ウェブアプリ保護をAIで効率化 -
sponsored
サイバー犯罪ネットワークの体系的な撲滅へ。世界経済フォーラムCybercrime Atlasを通じた連携強化 -
sponsored
インサイダーリスクはサイバーセキュリティにおける喫緊の課題【2025年インサイダーリスクレポート】 -
sponsored
【サイバーセキュリティ意識向上月間】今だからこそサイバーセキュリティのキャリアを追求・強化すべき理由