Microsoft、クラウドのプライバシーとセキュリティで「10の推奨事項を発表」：クラウド内のデータを守るには

Microsoftは、クラウドのプライバシーとセキュリティの現状に関する調査報告書を発表。誰がセキュリティに責任を持つのか意見の一致が見られていないことなどが分かった。合わせて、プライバシーやセキュリティ対策に役立つ10の推奨事項も提示した。

[＠IT]

　Microsoftは2020年1月29日（米国時間）、同社の委託を受けてPonemon Instituteが実施したクラウドのプライバシーとセキュリティに関する調査報告書を発表した。

　この調査は、米国とEU加盟国の1049人のIT担当者を対象に行われた。回答者の55％は単一のパブリッククラウドサービスを利用しており、45％が複数のサービスを利用していた。

　報告書では、調査の詳細な分析結果をまとめており、クラウドのプライバシーとセキュリティ対策について10の推奨事項も示している。

　Microsoftは、「今回の調査により、プライバシーに関する懸念は、クラウドの導入を遅らせる要因になっておらず、プライバシー関連の大半の取り組みは、クラウド上でより容易に行えることが分かった。その一方で、ほとんどの企業は、オンラインプライバシーの管理に必要な制御と可視性を確保できていないと考えていることも明らかになった」と述べている。

　調査結果の概要は以下の通り。

• プライバシーに関する懸念があっても、企業がクラウドサービスの導入を遅らせる理由にはなっていない
  「プライバシー問題を理由にクラウドサービスの導入を見送った、または遅らせた」と答えた米国の回答者は全体の3分の1、EUの回答者の38％にとどまる。コスト削減や商品、サービスの市場投入のスピードを高める際のクラウドの重要性は、プライバシーに関する懸念を上回っているようだ

プライバシー問題を理由にクラウドサービスの導入を見送ったり、遅らせたりした回答者は米国では33％にとどまった（出典：Microsoft）

• プライバシー関連の大半の取り組みは、クラウド上でより容易になる
  こうした取り組みは、プライバシーへの影響の評価や機密性の観点からの個人データの分類／タグ付け、GDPR（一般データ保護規則）における義務のような法的義務の順守などのガバナンスプラクティスを含む。ただし、インシデント対応の管理のような取り組みは、オンプレミスの方が進めやすいと考えられている
  
  
• 過半数の回答者が現在、プライバシーやデータの保護要件を自社が満たしていない可能性を挙げた
  米国の回答者の53％、EUの回答者の60％は、自社が保護要件を満たしている自信を持っていない。ほとんどの企業が、プライバシーやデータセキュリティの要件に対応するためのクラウドベースのソフトウェアを、導入前に詳しく調査、検討していないからだ

そもそもSaaSやPaaSで誰がプライバシーやデータに責任を持つのか、意見の一致が見られていない（出典：Microsoft）

• ほとんどの企業が、クラウドにおける機密データの保護に関して受け身
  プロアクティブな取り組みがない。特に、「プライバシーやデータセキュリティのリスクに対処するためのクラウドベースのソフトウェアやプラットフォームを調査、検討している」と答えた回答者は44％、「機密性が高いためにクラウドに保存できない情報を特定している」と答えた回答者は39％にとどまる

機密性が高いためにクラウドに保存できないデータは何か（複数回答、出典：Microsoft）　1位はソースコードなどの知的財産、2位は金融ビジネス情報、3位は健康情報、4位は非財務の機密ビジネス情報、5位は人事記録だった。クレジットカード情報は6位と低く、顧客情報は7位だった

• クラウド上のデータに対して可視性を担保できていない
  「クラウドで収集や処理、保存される機密データについて、必要となる360度の可視性を自社が確保している」と答えた回答者は29％にすぎない。さらに導入企業はクラウドアプリケーションやプラットフォームを全て把握しているという自信がない

10の推奨事項とは

　このような現状を踏まえて、報告書ではクラウドのプライバシーとセキュリティ対策について10の推奨事項を挙げている。