「企業はクラウドのデータセキュリティへの適切な対応を怠っている」 タレス調査：機密データの半分は暗号化されていない

タレスが実施した「クラウドセキュリティ調査レポート2019」では、クラウドの普及が進んでいる一方で、クラウドのデータセキュリティに対しておろそかになっていることが明らかになった。

[＠IT]

　タレスは2019年10月16日、「クラウドセキュリティ調査レポート2019」を発表した。同調査は、日本、オーストラリア、ブラジル、フランス、ドイツ、インド、英国、米国のIT担当者とITセキュリティ担当者を対象に実施した。同レポートでは、企業のクラウドセキュリティへの対応が遅れていると指摘している。

クラウド依存に危機感を持つが、選定時にはセキュリティを考慮していない

　今回の調査では、クラウドの普及が進み、クラウドベンダーへの依存が高まっていることが分かった。全体では48％、日本では50％の企業が、Amazon Web Services（AWS）やMicrosoft Azure、IBM Cloudを中心に、複数のクラウドを利用していた。1つの企業が利用するクラウドベンダーの数は平均3社。4社以上を使用している企業は全体の28％、日本では30％を占めた。

クラウドセキュリティ調査レポート2019の要約（出典：タレス）

　こうしたクラウド依存について、企業は危機感も感じているようだ。クラウドに消費者の個人情報や機密データを保存することで、セキュリティリスクが増加すると回答した企業の割合は、全体の46％、日本の52％に及んだ。さらに、全体の56％、日本の72％の企業が、コンプライアンス上のリスクが発生すると回答した。

　クラウドに保存した機密データが漏えいしたときは、誰が責任を負うべきなのか。世界的には、クラウドベンダーが負うべきだと考える割合が高かったのに対して、日本ではユーザーとベンダーの共有責任との意見が過半数を占めた。

　具体的には、クラウドベンダーが負うべきだと回答した割合は、全体では35％、日本では18％。ユーザーとベンダーの共有責任と回答した割合は、全体で33％、日本は51％。ユーザーである自社の責任と回答した割合は、全体と日本のいずれも31％だった。

　ただし、実際に企業がクラウドベンダーを選定する際には、ほとんどセキュリティ面を考慮していないことも分かった。ベンダー選びの要素としてセキュリティを挙げた企業の割合は、全体の23％、日本の22％にすぎなかった。

　今回の調査の実施を委託されたPonemon Instituteの会長兼創業者であるLarry Ponemon氏は、「複数のクラウドプラットフォームやベンダーの利用を検討する企業が増加する中、どのデータがどこに保存されているのかを把握することが極めて重要だ。データの所在を管理することなく、機密性の高いデータを保護することは事実上不可能だ。その結果、データ漏えいの危険にさらされる。全ての企業は、保存されている自社データの所在を把握して、データの安全性とセキュリティを確保する責任を負うべきだ」と述べている。

企業は機密データを保護しきれていない実態

　一方、企業が機密データを保護していない現状も明らかになった。クラウドの機密データに対して暗号化やトークン化処理を実施していないと回答した企業の割合は、全体の51％、日本の48％に上った。データのセキュリティに関しては地域的な格差があり、最も暗号化処理を行っているのはドイツ（66％）だった。