「企業はクラウドのデータセキュリティへの適切な対応を怠っている」 タレス調査:機密データの半分は暗号化されていない
タレスが実施した「クラウドセキュリティ調査レポート2019」では、クラウドの普及が進んでいる一方で、クラウドのデータセキュリティに対しておろそかになっていることが明らかになった。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
タレスは2019年10月16日、「クラウドセキュリティ調査レポート2019」を発表した。同調査は、日本、オーストラリア、ブラジル、フランス、ドイツ、インド、英国、米国のIT担当者とITセキュリティ担当者を対象に実施した。同レポートでは、企業のクラウドセキュリティへの対応が遅れていると指摘している。
クラウド依存に危機感を持つが、選定時にはセキュリティを考慮していない
今回の調査では、クラウドの普及が進み、クラウドベンダーへの依存が高まっていることが分かった。全体では48%、日本では50%の企業が、Amazon Web Services(AWS)やMicrosoft Azure、IBM Cloudを中心に、複数のクラウドを利用していた。1つの企業が利用するクラウドベンダーの数は平均3社。4社以上を使用している企業は全体の28%、日本では30%を占めた。
こうしたクラウド依存について、企業は危機感も感じているようだ。クラウドに消費者の個人情報や機密データを保存することで、セキュリティリスクが増加すると回答した企業の割合は、全体の46%、日本の52%に及んだ。さらに、全体の56%、日本の72%の企業が、コンプライアンス上のリスクが発生すると回答した。
クラウドに保存した機密データが漏えいしたときは、誰が責任を負うべきなのか。世界的には、クラウドベンダーが負うべきだと考える割合が高かったのに対して、日本ではユーザーとベンダーの共有責任との意見が過半数を占めた。
具体的には、クラウドベンダーが負うべきだと回答した割合は、全体では35%、日本では18%。ユーザーとベンダーの共有責任と回答した割合は、全体で33%、日本は51%。ユーザーである自社の責任と回答した割合は、全体と日本のいずれも31%だった。
ただし、実際に企業がクラウドベンダーを選定する際には、ほとんどセキュリティ面を考慮していないことも分かった。ベンダー選びの要素としてセキュリティを挙げた企業の割合は、全体の23%、日本の22%にすぎなかった。
今回の調査の実施を委託されたPonemon Instituteの会長兼創業者であるLarry Ponemon氏は、「複数のクラウドプラットフォームやベンダーの利用を検討する企業が増加する中、どのデータがどこに保存されているのかを把握することが極めて重要だ。データの所在を管理することなく、機密性の高いデータを保護することは事実上不可能だ。その結果、データ漏えいの危険にさらされる。全ての企業は、保存されている自社データの所在を把握して、データの安全性とセキュリティを確保する責任を負うべきだ」と述べている。
企業は機密データを保護しきれていない実態
一方、企業が機密データを保護していない現状も明らかになった。クラウドの機密データに対して暗号化やトークン化処理を実施していないと回答した企業の割合は、全体の51%、日本の48%に上った。データのセキュリティに関しては地域的な格差があり、最も暗号化処理を行っているのはドイツ(66%)だった。
仮に暗号化していたとしても、暗号化鍵をクラウドベンダーに渡すなど、その暗号化鍵を自社で管理していない企業が多いことも顕在化した。クラウドのデータを暗号化した後、クラウドベンダーに暗号化鍵を渡していると回答した企業の割合は、全体の44%、日本の48%だった。それに対して社内チームで管理すると回答した割合は、全体の36%、日本の34%。暗号化鍵をサードパーティーが管理していると回答した割合は、全体の19%、日本の16%だった。
また、暗号化鍵を自社で管理することの重要性を認識していると回答した企業の割合は、全体の78%、日本の75%だったのに対して、実際に自社で暗号化鍵を管理していると回答した割合は、全体の53%、日本の55%にとどまった。
なお、全体の54%、日本の58%が、クラウドストレージが機密データの保護を難しくしていると感じていた。この割合は、2018年の調査(全体の49%、日本の53%)よりも高まった。その理由として、プライバシー管理の煩雑性とデータ保護関連の規制を挙げた割合が高い。全体の70%、日本の81%が回答した。そして、全体の67%、日本の38%の企業が、クラウド環境内のデータ保護が難しくなり、従来の方法ではクラウド上のデータ保護は困難だと回答した。
タレスでクラウドプロテクション&ライセンシング事業部門のマーケティング戦略担当VP(バイスプレジデント)を務めるTina Stewart氏は「今回の調査結果から、企業がクラウドのデータセキュリティへの適切な対応を怠っていることが明らかになった。クラウドベンダーにデータ保護の責任を持たせていながら、ベンダー選びではセキュリティを重視していないという結果は、驚くべき事実だ。採用するクラウドモデルやベンダーに関係なく、クラウドに保存するデータに対してユーザー企業がセキュリティに対する責任を負う必要がある。データ漏えいが発生すれば、企業の信用は失墜する恐れがあるため、社内チームが自社のセキュリティ体制に厳しく目を光らせ、常に暗号化鍵を管理しておくことが重要だ」と述べている。
関連記事
シャドーIT、設定監査、情報漏えい対策――「クラウドセキュリティ」はどこまで見るべきか
注目が集まる「クラウドセキュリティ」、しかしその定義は人によって異なるため、「どこまで対応すべきかがよく分からない」という企業も少なくないだろう。マカフィーは報道関係者向けにクラウドセキュリティに関する勉強会を開催し、CASBの視点からクラウドセキュリティの現状を語った。
Oracle Cloudは、セキュリティなどの移行リスクをどう低減するのか
企業にとって、クラウド移行で大きな懸念となるのがセキュリティだ。特にオンプレミスで稼働させてきた既存システムと同程度の信頼性・安定性、セキュリティをクラウド上で担保するのは簡単なことではない。Oracle Cloudはこれにどう応えてくれるのか。
クラウドセキュリティの強化には、IAMとCASBの組み合わせが必要
アイデンティティー管理は今後の企業におけるクラウドセキュリティの要といえる。だが、カバーできない部分もある。これを補完するために検討したいのが、クラウドアクセスセキュリティブローカーの活用だ。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。