クラウドサービスのうち91%はデータを暗号化せず――マカフィーがクラウド利用に関する調査レポートを発表:データ損失インシデントは毎月4万件以上
マカフィーは「クラウドの採用とリスクに関するレポート エンタープライズスーパーノヴァ(データ分散編)」を発表した。シャドーITがリスクを拡大したり、クラウド内でのデータ移動が新たなリスクを作り出したりしていることが分かった。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
マカフィーは2020年2月4日、「クラウドの採用とリスクに関するレポート エンタープライズスーパーノヴァ(データ分散編)」を発表した。同レポートでは、企業のデータに関して、11カ国1000社を対象にした調査と、クラウドを利用する企業ユーザーの匿名化されたイベント3000万件の分析によって、総合的に評価した。その結果、シャドーITがリスクを拡大したり、クラウド内でのデータ移動が新たなリスクを作り出したりしていることが分かったとしている。
79%の企業が「機密データをパブリッククラウドに保存している」
今回の調査では、企業でクラウドサービスの利用が広まっていることが分かった。機密データについてもクラウドへの移行が進んでおり、「機密データをパブリッククラウドに保存している」と回答した割合は79%だった。マカフィーの分析によると、クラウド上のファイルのうち、機密データを含んでいる割合は26%。これは、前年に比べて23%増加している。
データ損失インシデントは毎月4万件以上
マカフィーでは、クラウドのデータ漏えい防止(DLP:Data Leak Prevention)が最優先事項だとしている。同社の分析によると、SaaS(Software as a Service)上でDLPを実行している企業のデータ損失インシデントの発生数は、毎月平均4万5737件だった。こうしたリスクがあるにもかかわらず、クラウドでDLPを実行していると回答した企業の割合は37%にすぎない。
クラウドで共有されているファイルに機密データが含まれる割合は前年比57%増
マカフィーは、クラウド上のデータに新たなリスクが発生しているとも指摘している。新たなリスクとは、クラウドサービスの中や、クラウドサービスの間でのデータの移動だ。コラボレーションツールの普及によって、こうしたデータ移動が容易になった。同社によると、クラウド上に保管されているファイルの49%が誰かと共有されている。そして、クラウドで共有されているファイルに機密データが含まれる割合は12%で、これは前年に比べて57%増えた。
クラウドで共有される機密データのファイルのうち9%がパブリックアクセスのリンク
こうしたクラウド上の機密データは、人為的ミスによって漏えいしてしまいかねない。例えば、クラウドサービスを利用してデータを共有する際に、パブリックアクセスのリンクを作成してしまうことだ。リンクが公開されている場合、全てのユーザーがアクセス権を持ってしまう。マカフィーによると、クラウドで共有される機密データのファイルのうち9%がパブリックアクセスのリンクを使用していたという。これは、前年に比べて2.11倍に増えた。
クラウドサービスのうち91%はデータを暗号化せず
一方、企業が利用しているクラウドサービスのうち91%は、保持しているデータを暗号化していなかったことも明らかになった。そして、アカウントを閉鎖したときにデータを削除していないクラウドサービスは87%に上った。
機密データの10%が未管理のクラウドサービスに保存
また、企業で利用が認可されているクラウドサービスの数は1社当たり平均41個だが、「シャドーIT」と呼ばれる、未管理のまま使用されているクラウドサービスは数千に及ぶという。そしてマカフィーによると、機密データの10%が未管理のクラウドサービスに保存されていたという。こうしたシャドーITについて、「データ保護を脅かす」と考える割合は、セキュリティ担当者の45%、ITリーダーの62%だった。
52%の企業が「ユーザーデータが盗まれたことがあるクラウドを使用している」
侵害によってユーザーデータが盗まれたことがあるクラウドを使用している企業の割合が52%に上ることも明らかになった。このように、クラウドにデータを保存することにはリスクが伴うが、クラウド上のデータを安全にする責任は自社にあると理解しているCISO(Chief Information Security Officer:最高情報セキュリティ責任者)は93%だった。
30%の企業が「SaaSを保護する技術を備えたスタッフが不足している」
だがマカフィーは、「経営幹部以外の役職では、責任共有モデルが明確に理解されていない」と指摘する。例えば、ネットワークセキュリティマネジャーの20%は、「クラウドプロバイダーに責任があると考えている」という。さらに同社の調査では、「SaaSアプリケーションを保護する技術を備えたスタッフが不足している」と回答した割合は30%で、この数字は前年に比べて33%増えている。クラウドの急激な普及によって、技術と研修の両方に遅れが生じている恐れがあるとマカフィーは分析している。
関連記事
Microsoft、クラウドのプライバシーとセキュリティで「10の推奨事項を発表」
Microsoftは、クラウドのプライバシーとセキュリティの現状に関する調査報告書を発表。誰がセキュリティに責任を持つのか意見の一致が見られていないことなどが分かった。合わせて、プライバシーやセキュリティ対策に役立つ10の推奨事項も提示した。
Google Cloudの新しい機密データ保存/管理サービス「Secret Manager」、Googleがβ版をリリース
Googleは、APIキーやパスワード、証明書などの機密データを保存する「安全で便利な方法を提供する」ことをうたう新しいGoogle Cloudサービス「Secret Manager」(β版)を発表した。
クラウドはセキュリティ上「最も弱い鎖」? Check Pointが指摘
Check Pointがイベント「CPX360 2020」を開催。創業者兼CEOを務めるギル・シュエッド氏が基調講演の中で、サイバー犯罪を巡る5つのトレンドを指摘した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。