セキュリティ脅威調査：62％の企業が、クラウドのセキュリティの方が優れていると回答

オラクル・コーポレーション
アラン・ゼイチック

クラウドに機密データを保存しているか。もちろん答えはイエス。最新のセキュリティ調査レポートによると、約90%の企業がクラウドに保存されたデータの半分以上が、サイバー犯罪者たちの狙う機密データであると回答している。

調査対象企業の66%が過去2年間に1回以上のサイバーセキュリティ・インシデントによって業務が中断したと回答しており、80%が機密データに対するサイバー犯罪の脅威を懸念していると回答している。

62%の企業がクラウド型アプリケーションのセキュリティの方が、オンプレミス・アプリケーションのセキュリティより優れていると考え、21%の企業が同等のセキュリティであると考えている。（警告：企業はクラウドのデータに対して真剣に考えなくてはならず、単純に「誰か」がセキュリティに対処してくれるものと思い込んではいけない。）

これらの調査結果は、オラクルとKPMGが初めて共同で作成したレポート「Oracle and KPMG Cloud Threat Report 2018」から得られたものである。「Cloud Threat Report」の特長は、ハイブリッド・クラウドと、クラウドにワークロードとデータを移行している組織に重点を置いていることだ。

調査の設計者の1人であるオラクルのクラウド・セキュリティ・ビジネス担当シニア・プリンシパル・ディレクター、グレッグ・ジェンセンは次のように述べている。「脅威のランドスケープでは、インフラストラクチャ、脅威分析、マルウェア、侵入、データ漏洩、パッチ管理など、さまざまな種類のレポートが作成されてきました。不足していたのは、クラウドへの移行のためにそのすべてをまとめたレポートです」

調査の対象となった450社のうち、実に87%がクラウドファーストを指向していると回答している。「これは、企業がクラウドのテクノロジーに対して持つ信頼感を示しています」とジェンセンは述べている。

次の2点は、その考えをより詳細に示すデータである。

・回答者の20%はクラウドのほうがオンプレミス環境よりずっと安全であると回答し、42%はどちらかと言えばクラウドのほうが安全であると回答し、21%は同程度に安全であると回答した。クラウドよりオンプレミス環境のほうが安全だという回答は21%にとどまった。

・回答者の14%はすでに半分以上のデータがクラウド上にあると回答し、46%は4分の1から半分のデータがクラウド上にあると回答した。

調査対象となった企業によると、クラウドベースのデータは急速に「機密性」を増している。これらのデータには、顧客関係管理システムから収集した情報、個人を特定できる情報（PII）、支払カードデータ、法的文書、製品デザイン、ソースコード、その他の知的財産が含まれる。

サイバー攻撃によって明らかになるペースギャップ

調査の対象となった企業の3分の2は、セキュリティインシデントによって過去に何らかの妨害（サービス提供能力の喪失、従業員の生産性の減少、ITプロジェクトの遅れなど）を受けたことがあると回答している。半数以上の企業は、結果として何らかの金銭的被害（株主価値の低下、データ喪失のコスト、風評被害のコストなど）が生じたと回答している。 ジェンセンは、「組織が新しいビジネスアプリケーションを開発・導入するスピードと、組織のセキュリティおよびコンプライアンス目標に合わせてそのアプリケーションを保護するスピードの間の差を示す『ペースギャップ』への認識が高まってきています」と述べている。セキュリティには遅れが生じており、このギャップはアジャイル・アプリケーション開発によって拡大する。

それでは、企業は新規ソフトウェアの導入ペースを下げるべきなのか。ジェンセンはその提案を否定し、セキュリティのトレーニング、プロセス、テクノロジーを向上させるべきだとしている。「優先すべき領域は、平均的なエンドユーザーへのトレーニングです。なぜなら、彼らこそが最も脆弱な攻撃ポイントとなっているからです。最も成功する攻撃の中には、フィッシングのようにソーシャル・エンジニアリングを利用するものがあります」

プロセスの面では、企業はクラウドプロバイダーと共有しているセキュリティ責任を理解する必要がある。オラクルとKPMGの調査では、クラウドベンダーと顧客の間でそれぞれが負担するセキュリティ責任の境界線が、Software as a Service（SaaS）、Infrastructure as a Service（IaaS）、Platform as a Service（PaaS）では変化することが明らかになっている。たとえばIaaSでは、サービス・プロバイダーは「一般的に、仮想化レイヤーを含む物理インフラストラクチャの保護に責任を負い、顧客はサーバーワークロードの保護に責任を負います。しかし、IaaS、PaaS、SaaSの利用モデルに関係なく、通常、顧客はデータ・セキュリティ、ユーザー・アクセス、アイデンティティ管理に責任を負っています」とレポートでは述べられている。

機械学習と自動化の効果

一方で、新しい技術は、データセンター、クラウド、ハイブリッド環境のセキュリティ問題の検出と対応を可能にするため、ペースギャップの解消に効果がある。

調査では、38％の企業が、ユーザーが不審な行動をとった場合にそれを瞬時に特定できる行動解析と異常検出のツールを利用していると回答した。たとえば、過去に一度も顧客データベースのダウンロードを行ったことがない従業員が深夜の午前2時に突然ダウンロードを開始した場合、仮にその従業員にダウンロード権限があったとしても、不審な事象と捉えられる。

脅威への迅速な対応では、機械学習（ML）も効果的なツールである。MLアルゴリズムは、膨大な量のデータ（トランザクション、ログなど）を調べてパターンを特定できるからだ。オラクルとKPMGの調査では、47%の企業がサイバーセキュリティの目的で機械学習を利用していることが明らかとなっている。

自動化も重要なポイントの1つである。ソフトウェアが処理する定期セキュリティ・タスクの量が多くなるほど、システム構成に紛れ込む人的エラーとアラート応答は少なくなる。調査では、84%の企業がセキュリティの自動化レベルの引き上げに取り組んでいると回答している。

全般的に、セキュリティという観点でみると、クラウドの将来は明るいと言えるだろう。半数以上の企業がオンプレミスのセキュリティよりもクラウドのセキュリティのほうが優れていると評価し、90%の企業がクラウドデータの半分以上を機密情報と分類するのであれば、転換点は超えている。企業は引き続き常に警戒が必要な状況であるが、その企業からクラウドは信頼を獲得しているのだ。