クラウドの導入はかつてないほど進んでおり、リスクも高まっていることを示す報告書

Rodman Ramezanian - Global Cloud Threat Lead、Skyhigh Security

2023年4月10日 4 分で読む

- そのためにできること

世界的な大転換により、組織の運営やデータの保護に関する現状が大きく変化する中、2022年には、当社の年次報告書で追跡している多くの主要なセキュリティ指標に大きな変化が見られたのも不思議ではありません： データのジレンマ：クラウドの導入とリスク」報告書.

まずは、こうした変化を促すトレンドと、現在進行中の大きなパラダイムシフトを全体像として捉えてみましょう。

クラウドの導入が加速する
クラウドベースのデータやワークフローへの移行は、少なくとも10年以上前から進んでいましたが、今回のパンデミックは、多くの企業が準備していたよりも早く、ハイブリッドやリモートワーク環境を採用せざるを得ないきっかけになったことは間違いありません。これは、セキュリティに顕著な影響を及ぼしました。このような世界的な変化を受け、多くの組織は、発生したセキュリティの問題に対処するために、急な学習曲線を描いています。

新たなパラダイムの出現
セキュリティは、基本的にデータを保護することです。データが従来の企業ネットワークの外に存在するようになった今、従来の手段ではデータを保護することが不可能になったように思われます。このことは、私たちのレポートでは、90％の組織が1つ以上のセキュリティ侵害を経験し、89％がセキュリティ脅威を経験し、80％がデータの盗難を経験しているという事実からも明らかです。その上、2022年には、調査対象となった組織の実に75％が、3つのセキュリティ問題をすべて合わせて経験しています。

今、明らかなのは、データをソースから保護するという標準的なアプローチが根本から覆されつつあるということです。データが保存されている周辺ではなく、データそのものを保護することに焦点を当てた新しいパラダイムが出現しているのです。ゼロトラストアーキテクチャーのコンセプトは、このパラダイムシフトの重要な部分であり、この大規模なデジタル変革から生じた問題の多くに対処しています。

組織は無数のセキュリティ問題に直面している
本レポートの調査結果は、クラウド上のデータを保護するための複雑さと課題が多いことを示しています。本調査で組織から報告されたセキュリティ上の問題点は以下の通りです：

• 誰がどのデータに責任を持つかについて、チームメンバー間で思い込みや誤解が生じることはよくあることです。
• 利用されているSaaSサービスの平均51％がIT部門からの監視なしに委託されており、データの可視性の欠如がそのSaaSサービスの46％に影響を与えています。
• データに対するセキュリティ管理が十分でない、または一貫性がなく、管理上の問題を伴っている。
• 膨大な量の機密データがクラウド上に保存されており、平均61％の機密データがパブリッククラウドに保存されており、前回のレポートの48％から増加しています。
• シャドーITのリスクは75％の組織で懸念されていますが、60％の組織では、生産性のためと思われますが、従業員が個人のデバイスに機密データをダウンロードすることを認めています。
• 統合されていないポイントソリューションをつなぎ合わせると、管理の複雑さやセキュリティギャップが生じます。
• 厳しい採用環境の中で、セキュリティチームは手薄になっています。

このように様々な問題が存在する中、多くの組織でデータの漏洩、脅威、盗難が報告されているのは本当に不思議なことではありません。サイバー犯罪者は、クラウドに保存されている機密データの拡散を利用しようと躍起になっています。

より繊細なデータが危険にさらされる
全体として、調査に参加した組織が使用しているパブリッククラウドサービスの平均数は50％増加しています。2019年の20個から2022年には30個になった。回答者の半数近くが、これらのサービスに競争力のあるデータ、個人顧客情報、および/または内部文書を保存していると回答しています。3分の1以上は、個人的なスタッフ情報、独自の知的財産、および/または政府の識別情報を保存している。また、回答者の約4分の1が、これらのパブリッククラウドサービスにペイメントカード情報、ネットワークパスワード、医療記録などを保存していると回答しています。

このようなデータの盗難は、企業の評判、事業運営能力、財務状況に損害を与える可能性があり、特に、データの安全確保を怠ったとして規制当局から罰せられる可能性があります。コンプライアンス要件はサイバー脅威とともに増加の一途をたどっており、企業はセキュリティを優先することがこれまで以上に重要となっています。

これをさらに強化するために、2024年までに、世界人口の75％が個人情報をプライバシー規制の対象とするとガートナーは予測しています。

組織はサイバーセキュリティへの投資を増やしている
これらの問題に対処するために、組織は、サイバーセキュリティに関する従業員のトレーニング（52％）、災害復旧/DLP計画の作成（47％）からサイバー保険への投資の増加（47％）に至るまで、さまざまな解決策に目を向けています。また、41%がゼロトラスト・セキュリティ・モデルへの移行を、39%がマイクロサービス・アプローチへの移行を計画していると回答しています。

特に、今回の調査では、42%の組織がクラウドアクセスセキュリティブローカー（CASB）ソリューションを、28%がセキュアWebゲートウェイ（SWG）ソリューションを、23%がシャドーIT発見後にデータ損失防止（DLP）と暗号化対策を採用しています。

半数以上の組織（56％）が、サイバーセキュリティへの投資を増やす予定です。これは良いことですが、それにもかかわらず、現在のサイバーセキュリティへの投資は、クラウドでデータを安全に保つという複雑なことに対応できていないことを示しています。この調査から得られた証拠は、それを裏付けています。

私たちの結論
新しいチャレンジには、新しいアプローチとソリューションが必要です。

ポイント製品から生じる複雑さや潜在的なセキュリティギャップに代わるものとして、CASB、SWG、DLPソリューションとゼロトラストネットワークアクセス（ZTNA）、クラウドネイティブアプリケーション保護（CNAPP）を一つの統合プラットフォームに統合したセキュアサービスエッジ（SSE）ソリューションを推奨しています。セキュリティをシングルベンダーソリューションに簡素化・統合することで、単一のダッシュボードからセキュリティを一元管理することができます。SSEソリューションは、本レポートで明らかになったセキュリティ問題の大部分に対処するとともに、セキュリティチームの効率と生産性を最大化します。

この調査でも明らかなように、1組織あたり平均2つの役割が、クラウドにおけるデータの安全確保に責任を負っています。その内訳は、CTO（48％）、CIO（37％）、ITセキュリティマネージャー（35％）、ITネットワークマネージャー（29％）、ITマネージャー（28％）、CISO（22％）、ITアーキテクト（6％）。同じことに複数の人が責任を持つことは、タスクの所有権を混乱させ、危険な思い込みにつながる可能性があります。SSEプラットフォームは、チームメンバー間の役割と責任の指定を大幅に簡素化し、漏れをなくし、関連するセキュリティギャップを埋めることができるようにします。

データの保護という仕事は、これまで以上に困難なものとなっています。しかし、ゼロトラストアーキテクチャの基礎となるSSEプラットフォームがあれば、その作業は容易になり、セキュリティを犠牲にすることなく、スケーラビリティ、コスト削減、アジリティといったクラウドの利点を享受することができる。

をダウンロードし、詳細をご確認ください。 データのジレンマ：クラウド導入とリスクレポート.

---

スカイハイセキュリティ、ブログ「The Data Dilemma Risk Report」（Envision Technology Marketing、Mary Karlton氏作成）、2023年3月22日、V1

ブログへ戻る