タレスは、2023 年のクラウド セキュリティ調査で、昨年クラウド環境でデータ侵害を経験した企業は 3 分の 1 以上 (39%) であったのに対し、2021 年には 34% であったことを明らかにしました。組織は機密データを複数のクラウド環境にキャッシュするケースが増えています。
このレポートは、EMEA、南北アメリカ、アジア太平洋地域の18か国にわたる3,000のITおよびセキュリティチームを対象とした調査に基づいています。
- IT 幹部の 75% が、クラウドに保存されているデータの 40% 以上を機密データとして分類しており、昨年の同時期は 49% でした。
- 回答者の 38% は、サービスとしてのソフトウェア アプリケーションがハッカーの主な標的であると回答し、次いでクラウドベースのストレージ (36%) が上位にランクされました。
マルチクラウドは運用の複雑さを引き起こす
本調査では、市場におけるクラウドサービスプロバイダーの数が35%増加したことに伴い、より多くの企業がより多くのクラウドサービスプロバイダーを利用していることが明らかになりました。調査の著者らは、クラウドインフラプロバイダーの平均数は現在2.3社であり、今年の回答者の4分の3以上(79%)が複数のクラウドプロバイダーを利用していると述べています(図A)。
図A
調査によると、「保護すべきプラットフォームの数が増えると、運用上のミスが発生する可能性が高まり、ミスが増えるごとに攻撃対象領域が拡大します。組織は、各プラットフォームに特化した別々のチームを編成するか、セキュリティチームが複数のプラットフォームに同時に精通することを期待するかのいずれかを選択する必要があります」とされています。
クラウドに保存される機密データの増加
調査では、組織がクラウドに移行するワークロードとデータが増加していることが報告されています。ワークロードの 60% 以上がクラウドにあると回答した組織の数は、前年比で 23% から 27% に増加しました。
参照: IBM がクラウドデータプラクティスを強化する方法 (TechRepublic)
このレポートでは、クラウド上の機密データについて、回答者がデータをどのように展開しているかを2つの角度から調査したところ、回答者の増加が見られました。調査では以下の点について質問しました。
- クラウドに保存されている組織の機密データ全体の割合。
- 組織がクラウドに保存するすべてのデータのうち機密データの割合。
その結果、次のことがわかりました。
- 昨年の調査では、回答者の52%が機密データの40%以上がクラウドに保存されていると回答しました。今年はその割合が64%に増加しました。
- クラウドに保存されているデータの 40% 以上が機密データであると答えた回答者の数は、昨年の調査の 49% から今年は 75% に増加しました。
暗号化は増加しているが、ゆっくりと
今年の調査では、回答者の22%がクラウド上の機密データの60%以上が暗号化されていると回答し、40%がクラウド上の機密データの半分以上が暗号化されていると回答しました。これらの数字は、クラウド上の機密データの半分以上が暗号化されていると回答した回答者がわずか17%だった昨年の調査から改善しています。しかしながら、クラウド上の機密データの100%が暗号化されていると回答した回答者はわずか2%でした(図B)。
図B
さらに、調査に回答したIT幹部の62%が5つ以上の鍵管理システムを導入していると回答しており、タレス社は、機密データのセキュリティ確保が複雑化していると指摘している。
サービスとしてのソフトウェアがセキュリティ上の課題を生む
ほとんどの企業が複数のクラウド サービス プロバイダーを利用中であると報告しているだけでなく、SaaS アプリの使用の増加によってデータ流出の脅威対象領域が拡大しています。
- 2022 年の調査では、回答者の 16% が自社で 51 ~ 100 種類の異なる SaaS アプリケーションを導入していると報告しました。
- 今年の調査では、その割合は回答者の 22% に増加し、55% (前年は 46%) がクラウドでのデータ管理はオンプレミス環境よりも複雑であると指摘しました。
- さらに、83% がデータ主権について懸念を示し、回答者の 55% がクラウドにおけるデータのプライバシーとコンプライアンスがより困難になっていると主張しました。
この調査では、どの攻撃対象が最も攻撃を受ける可能性が高いかをランキング形式で質問しました。回答者の38%がSaaSを最も多く挙げ、次いでクラウドストレージが36%でした。さらに、調査期間中にデータ侵害を報告した回答者の数は、昨年の報告書から4%増加し、35%から39%になったと調査の著者らは述べています。
データ侵害と人為的ミス
調査回答者の半数以上(55%)は、組織におけるクラウドデータ侵害の原因は人為的ミスであると回答しましたが、クラウドインフラにゼロトラスト制御を導入している組織はわずか41%にとどまり、クラウドネットワークでゼロトラストプロトコルを使用している組織はわずか38%でした。しかし、従業員向けの認証プロトコルを導入する企業は増加しており、タレスの調査回答者の65%が多要素認証を導入していると回答しました。
参照: Palo Alto Networks のクラウド セキュリティに関する見解 (TechRepublic)
「組織は動的なマルチクラウド環境で事業を展開しており、シームレスで効率的なセキュリティ対策が求められています」とタレスのクラウド保護およびライセンス活動担当シニアバイスプレジデント、セバスチャン・カノ氏は述べています。
「人為的ミスや設定ミスから生じる課題を克服するには、クラウドにおけるデータ保護を簡素化し、容易に管理できるようにすることが不可欠です。」クラウドセキュリティ強化の鍵は、クラウド環境を既存のインフラの延長として扱うことにあると彼は述べた。「このアプローチを採用することで、組織はセキュリティを効果的に強化し、デジタルエコシステム全体にわたる包括的な保護を確保できます。」
