クラウドにおけるデータの暗号化と保護:大半の企業が未達成という状況

Companies Fail to Encrypt, Protect Data in the Cloud

2021/11/02 SecurityBoulevard — 昨年において、40% の組織が、クラウド・ベース侵害の被害に遭っていることを考えると、クラウド上のデータを保護することに重きが置かれていると思えてくる。しかし、2021 Thales Global Cloud Security を観ると、そうでも無さそうだ。なんと 83% もの企業が、クラウド上に保管している機密データを、半分も暗号化できていないのだ。さらに、3分の1にあたる 34% は、暗号化キーを完全に管理していない。

パンデミック後もクラウドの導入が進む中、企業におけるクラウドの利用方法は多様化し、調査対象者の 57% がクラウド・インフラとして、2社以上のプロバイダーを利用していると回答している。また、4人に1人がワークロードとデータの大部分をクラウドに移行しており、21% が機密データの大部分をクラウドに置いていると回答している。

ThycoticCentrify の Chief Security Scientist and Advisory CISO である Joseph Carson は、「今回の調査結果は、パンデミックの影響により、企業におけるクラウド・サービスへの移行が加速している中、クラウド・サービスを従来のオンプレミス・サービスと同じようには扱えないことを、改めて示している。特にセキュリティに関して言えることであり、サイバー犯罪者がクラウド・サービスへの攻撃を強めていることが原因である。クラウド・サービスを導入する組織は、データの暗号化/多要素認証 (MFA)/特権的アクセスなどを活用し、クラウド資産のリスクを軽減するための戦略を採用する必要がある」と述べている。

セキュリティが最重要視されている一方で、暗号化の取り組みは遅れており、約半数がゼロトラスト戦略を持っておらず、25% が戦略を検討していない。その代わり、多くの企業 (33%) が多要素認証をサイバー・セキュリティ戦略の中心に据えているが、それだけでは十分ではない。

Thales の Senior VP for Cloud Protection and Licensing Activities である Sebastien Cano は、「世界中の企業において、クラウド・ソリューションの導入が進むにつれて複雑さが増し、その対応に苦慮するケースが増えている。データと業務の安全性を確保するためには、堅牢なセキュリティ戦略が不可欠である。ほぼ全ての企業が、何らかの形でクラウドに依存しているため、データの把握/保護/管理を維持する能力を、セキュリティ・チームが持つことが不可欠である」と述べている。

S&P Global Market Intelligence 傘下の 451 Research で、Principal Research Analyst, Information Security を務める Fernando Montenegro は、「データを保護できていないことが問題だ。顧客データの保護は、常に最優先事項であり、企業はクラウド上のデータを積極的に保護するための戦略やアプローチの見直しを強く検討すべきである。この見直しにおいては、暗号化や鍵管理を含む特定技術の役割や、プロバイダーと顧客の間で共有される責任を理解することが必要だ」と述べている。

彼は、「データのプライバシーや主権に関する規制が強化される中、組織がデータ・セキュリティに対する責任を、どのように維持するかを明確に理解し、誰がコントロールするのか、誰が機密データにアクセスできるのかを、明確に判断することが最も重要になる」と主張している。

AppOmni の CEO である Brendan O’Connor は、「データを取り巻く状況は、さらに複雑になっている。今日のクラウドや SaaS プラットフォームでは、データにアクセスする手段は、もはや企業ネットワークだけではない。たとえば、サードパーティ・アプリや、家庭内の IoT デバイス、顧客、パートナー、請負業者、MSP などの、外部ユーザー向けに作成されたポータルからも頻繁にアクセスされるようになっている。そして、これらのチャネルからのアクセスは、多くのケースで企業ネットワークを完全に迂回する」と述べている。

彼は、「企業はクラウドや SaaS システムの機能を高めるために、これらのアクセス・ポイントを利用したいと考えている。しかし、企業ネットワークからのアクセスを保護するのと同じ方法で、アクセスポイントを保護/監視することを怠っている場合が多く、企業が全く知らないところで、それらへのアクセスが深刻な脆弱性を生み出すことがある」と指摘している。

Agarwal は、「クラウド・サービスを拡大することの、ビジネス上のメリットは明らかだが、それを急ぐことは、自らの危険を招くことになる。セキュリティを後回しにしていた、暗黒の時代には戻りたくない。必要であれば、クラウドへの移行を遅らせ、脅威モデルの自動化などのツールを利用して、慎重かつ安全に移行を計画する必要がある」と述べている。

この記事のベースとなっているレポートを提供する Thales Group は、フランスに本拠を置くグローバル企業で、宇宙/防衛/交通などの分野でビジネスを展開しているようです。その一方で、ThycoticCentrify451 Research は米国の企業ですが、Thales と同様に、クラウド上でのデータ保護について危惧しています。この記事に限らず、クラウドの問題を指摘する記事が増えています。よろしければ、カテゴリ Cloud も ご参照ください。

%d bloggers like this: