Cloud Security Alliance (CSA) とプルーフポイントの新たな研究により、組織が新型コロナウイルスのパンデミック時に急いで移行した新たなクラウド環境を十分に防護することや、進化し続ける脅威状況に対する包括的なサイバーセキュリティ戦略を採用することに苦慮していることがわかりました。
「クラウドと Web の攻撃」研究では、クラウドと Web から配信される脅威に関する業界の知識、姿勢、考えを深く理解するため、さまざまな規模の、さまざまな地域にある組織に所属する 950 人を超える IT およびセキュリティの専門家に質問しました。
組織では、新型コロナウイルス感染症の発生を受けて、従業員のテレワークに対応するためにデジタル トランスフォーメーションの取り組みを大幅に加速させました。こうした取り組みは多くの場合、従業員の生産性やその他のビジネス目標を向上させようとするものですが、大規模な構造上の変化が求められることから、予想外の結果や課題をもたらすこともよくあります。
そうした課題の一つが、従来のオンプレミス セキュリティ インフラを管理する一方で、クラウドと Web の脅威どちらにも対応できるアプローチを開発することです。クラウドファーストの考え方により、感染症の拡大によるロックダウン以前、まだ従業員がオフィスで働いていたころから、「リモート アクセス」の状況がすでに後押しされており、従来の境界セキュリティは事実上終わりを迎えていました。そして従業員が会社のデスクから自宅のオフィスに急激に移行させられると、ハッキングの機会が増加しました。
組織がクラウドへの移行を続け、第三者やパートナーへの依存度が高まる中で、サプライチェーン経由でのリスクと脅威が増加しています。「クラウドと Web の攻撃」研究は、回答した組織の 81% が、サプライヤーとパートナーを取り巻くリスクに対してある程度以上の懸念を抱いていることを示しています。
パートナーとその他の第三者は、組織の企業ポリシーを励行するために緊密に連携することがなく、コンプライアンスの監視も困難なため、一連のビジネス プロセスの中でも極めて脆弱な存在となっています。調査対象の IT とセキュリティ専門家の半数近く (48%) は、具体的にサプライチェーン攻撃またはサプライチェーン経由でのデータ損失を懸念として挙げました。 58% にも上る組織が、2021 年には第三者とサプライヤーがクラウドベースの侵害の標的であったと答えています。
機密データの保護が至上課題
顧客データと知的財産はハッカーにとってこの上ないお宝です。 従業員個人のアクセス権を攻撃により一旦入手してしまえば、侵害の発生箇所を追跡することは困難となります。ユーザー管理が遠隔から行われ手薄になっている状態では尚更です。パンデミック当時 IT 部門が利用できたツールは、雇用者による管理が不十分なデバイスからクラウド アプリケーションを使って仕事をするリモート ユーザーまで包括的に保護するようには作られていませんでした。
当然のことながら、データを守ることはビジネスにとって最重要であり、調査回答者の 48% がクラウドと Web での攻撃による最も懸念している結果として「データ損失」を挙げています。組織が最も懸念している具体的なデータの種類は、顧客データ、認証情報、知的財産です。43% の組織が、顧客データの保護を 2022 年の主なクラウドと Web セキュリティ目標として挙げました。 それでもなお、専用のデータ漏えい対策 (DLP) ソリューションを実装していると答えたのは、調査対象となった組織のわずか 36% でした。
従来のシステムが本当に問題なのか
調査した IT とセキュリティ専門家の半数近く (47%) は、従来のシステムへの対処をクラウド セキュリティの状況に関する主な懸念の理由としています。しかしこれは、従来のオンサイト システムが感染症拡大前の方が強力な管理を受けていたことから、十分納得できるものではありません。
クラウドとリモートワークのセキュリティに見合った投資をすることなく、クラウド ファーストの取り組みに飛びつくことで、企業が目の前にある問題を悪化させてしまうことはよくあります。予想どおり、3 分の 2 に上る組織が自身のクラウド セキュリティが危険にさらされていると評価していることが調査でわかりました。
調査対象となった組織の半数が、クラウド セキュリティに対する技術サポートが不十分でありながら、組織の将来的な生き残りをクラウド コマースに賭けています。このように、将来をクラウド コマースに賭けながらも、クラウド セキュリティを最重要課題として扱わない考え方は極めて危険です。
「クラウドと Web の攻撃」研究の調査対象となった回答者で、クラウド セキュリティを専門とするチームへの投資を十分に行っていたのは半数足らずでした。同時に、クラウドを起源とする脅威に対する防御となる現在のソリューションが十分なものであると考える回答者も半数足らずでした。このことから、クラウド セキュリティに投資する企業があまりに少なく、投資している企業も自社の投資にほとんど自信を持てないでいることだけはわかります。
「人」が新しい境界
セキュリティに対するリスクの主な要因は、現在もこれからも、企業の IT システムを使用するユーザーです。そのため、ユーザーを自らのミスから守る技術が、クラウド技術を利用するすべての組織において重要となります。クラウドと Web の脅威からユーザーを守るために、組織が最も一般的に利用しているのはセキュリティ意識向上トレーニングです (49%)。
新たな環境では「人」が境界となっています。 被害が及ぶ前に攻撃を特定し、阻止して、報告する方法について、従業員や関係者を適切にトレーニングおよび教育することは組織の務めです。 組織の関係各所でセキュリティの文化を育み、さらに合理的なソリューションを複数利用することは、クラウドと Web の脅威から従業員や組織のデータを効果的に保護するために欠かせません。
今後の進め方
以下、新しい「クラウドと Web の攻撃」研究の調査結果から、組織でセキュリティを改善するための提案をいくつかご紹介します。
- ユースケースに基づき、どのようなセキュリティを追加する必要があるか評価する
- 従業員にクラウドおよびリモートワーク セキュリティの知識を身につけてもらう
- 認証を求めることで攻撃の入り口をブロックする
- クラウド セキュリティの能力と実績についてセキュリティ ベンダーへの投資を再評価する
- 場所やプラットフォームにかかわらず、個人ユーザーへのサポートを改善する
- 現在および将来のビジネスリスクアセスメントにおいてクラウド ワークフローを主な要因と考える
詳細は、無料レポートをダウンロードしてご確認ください。
