マルチ・クラウドへの移行が止まらない:追いつかないセキュリティ関連の予算

Underinvestment in Multi-Cloud Security a Pressing Concern

2021/11/24 SecurityBoulevard — 大多数の企業は 2022年において、マルチクラウドを戦略的に優先させ、セキュリティを最重要視する計画を立てているが、それ実行するために必要なツールやスキルが不足しているとも感じている。実際のところ、成長するビジネスに伴い、いずれはマルチクラウドが必要になると、大多数の企業は考えているが、セキュリティ上の複雑さが原因となり、IT リーダーたちはマルチクラウドへの移行を躊躇している。

米国の 200人以上のITリーダーを対象に、Valtix が実施した調査では、96% の IT リーダーたちが、複数のクラウドにまたがりセキュリティを管理するための、コンソール・ビューがあれば仕事が楽になると回答している。その一方で、回答者の 82% は、マルチクラウド・セキュリティの導入と管理の複雑さが、ビジネスのアジリティを低下させていることに同意すると答えている。

マルチクラウド・セキュリティに対する投資が不足している

マルチクラウドの運用全般に関しては、回答者の 76% が、投資不足だと考えていると答えている。AppOmni の VP of Engineering である Tim Bach は、マルチクラウドの拡大に対して、IT リーダーの多くが懸念を抱いていることは当然だと述べています。なぜなら、IT リーダーたちへの期待は、安全かつ効率的な方法で、クラウド・セキュリティの問題に対処することに集約されるからだ。

Tim Bach は、「CIO や CISO たちは、Google Cloud/AWS/Microsoft Azure などのクラウド・サービスや、大量の SaaS プラットフォームの、セキュリティ監視に重点が置かれているかどうかにかかわらず、より多くの機密データと重要なビジネス・プロセスを収容する、多様なセキュリティの制御/監視/管理を期待されている。クラウド・インフラのセキュリティに関する懸念は、何年も前からよく認識され議論されてきたが、SaaSデータを適切に保護することは日々難しくなっている」と述べている。

彼は、「平均的な企業が使用している SaaS プラットフォームの多様さと、SaaS の動的な性質、プラットフォーム間の標準化の欠如を考えると、すべての権限と設定を手動で監視することは、セキュリティ・チームとって非現実である。また、すべてのプラットフォームについて必要とされるレベルの、専門知識を社内で維持することも不可能だ」と語っている。

Tim Bach は、IT およびセキュリティのリーダーが、組織におけるマルチクラウドの拡大を、自身を持ってサポートできるようにするためには、これらのチームに対して、各 SaaS の更新や微妙な違いに対応する目的で構築された、自動化されたセキュリティソ・リューションを提供する必要があると述べている。さらに、彼は、「潜在的な問題について、社内のセキュリティ担当者に警告し、その解決方法を提案できるセキュリティ技術が、この問題に対する最もスケーラブルなソリューションとなるだろう」と述べている。

今回の調査では、クラウド導入の方向性も示されており、62% の組織がすでにマルチクラウドを採用しており、現時点でマルチクラウドを採用していない 84% の組織が、2年以内に採用すると計画している。クラウド・セキュリティへの投資も増加傾向にあり、調査対象となった企業の 83% が、2022年におけるマルチクラウド・セキュリティへの追加予算を確定している。これらの企業は、平均して 47% の予算増を計画しています。

しかし、パブリック・クラウド・アカウント内の、すべてのアプリケーション・ワークロードについて、確実に把握している答えた回答者は 48% である。また、すべてのパブリッククラウド・アカウントと、そこで実行されるアプリケーション・ワークロードに対して、ネットワークまたはホストベースのセキュリティを確実に導入していると答えたのは、わずか 55% である。

Pathlock の President である Kevin Dunne は、ビジネスに対する、優れた回復力と柔軟性を増大していくために、企業はマルチクラウド・ソリューションを採用する必要性を、これまで以上に感じていると指摘する。

送信中の紛失

Kevin Dunne は、「マルチクラウドを採用すれば、予期せぬ障害やコスト増加などの、クラウドにおける重大な問題を解決する上でメリットが生じる。しかし、マルチクラウドがビジネスにメリットをもたらす一方で、セキュリティ・リスクを高めることになる。たとえば、運用中の複数のクラウドは相互に通信する必要があり、通信中にデータが失われるという。リスクが生じることもある」と述べている。

さらに言えば、プロバイダーが組み込んでいるセキュリティ・ソリューションの多くは、自社のクラウド上でしか機能しないため、企業はクラウド環境を行き来するユーザーの行動やリスクを見失う可能性がある。また、それぞれのクラウド・プロバイダーと、それぞれのプラットフォームで利用可能なツールを、セキュリティの専門家たちは理解する必要があり、そこにも手間がかかる。Dunne は、マルチクラウド環境を採用する顧客は、さまざまなクラウド環境の間で。相互運用性と標準化を提供する適切なツールに投資する必要があると述べている。

彼は、「これらのプラットフォームを管理するソリューションは、これらのクラウド・プラットフォームに統合するだけでなく、標準化されたインターフェースを介して、クラウド環境全体の脅威を理解し、対応する機能を提供する必要がある。適切なセキュリティ・ツールがあれば、マルチクラウド環境を採用し、不必要なリスクを負うことなく、ビジネス・メリットを享受できるだろう」と付け加えている。

Google Cloud/AWS/Microsoft Azure などのクラウド・プラットフォームにも問題がありますが、最近の動向を見ていると、SaaS セキュリティに関する記事が増えてきています。「SaaS 運用の管理が甘いとサプライチェーン・リスクが生じる」や、「SaaS のセキュリティ:リスクを分析して対策を講じる」、「SaaS を安全に運用するためのソリューション:CASB と SSPM の違いはどこに?」なども、よろしければ ご参照ください。

%d bloggers like this: