たったそれだけ？ クラウドセキュリティのお寒い実態：クラウドセキュリティに関する調査（2024年）／前編

広く普及したクラウドサービスには弱点がある。セキュリティ対策だ。サービス事業者に任せきりにできる部分はあるものの、ユーザー側の防御が不可欠だ。調査の結果、最低限の対策ができていない企業が残っていることが分かった。

[キーマンズネット]

　IDC Japanによれば、2023年の国内クラウド市場は2022年比29.6％増の7兆8250億円（売上額ベース）となり、2023年〜2028年の年間平均成長率は16.3％で推移するという。これはクラウドサービスが利用しやすく、ユーザー企業にとってメリットが大きいことを反映しているのだろう。

　だが便利な反面、どこまでセキュリティ対策を進めればよいのか分かりにくいという弱点がある。情報漏えいはもちろん、ランサムウェアやフィッシングにも対応しなければならない。さらにエンドポイントやオンプレミスのサーバとは異なる対策も必要だ。

　キーマンズネットが「クラウドセキュリティに関する調査」（2024年）（期間：2024年7月24日〜8月2日、回答件数：185件）を実施した結果、クラウドのセキュリティ対策が遅れていることが分かった。例えばデータのバックアップを取っている企業は46.9％にとどまっていた。

たったそれだけ？　クラウドセキュリティのお寒い実態

　はじめに、クラウドサービスの利用状況を調査したところ「利用していない」（29.7％）は3割にとどまり、大多数の企業でクラウドサービスを利用していることが分かった。

　「SaaS」（51.9％）が最多で、「IaaS」（31.9％）、「PaaS」（22.7％）と続く（図1）。従業員規模別では規模が大きくなるほど、IaaSやPaaSの利用割合が高くなる傾向があった。

図1　クラウドサービスの利用状況（複数回答）

　次に利用しているクラウドサービスプロバイダーを聞いたところ、2つのプロバイダーが同列にならんだ。「Amazon Web Services（AWS）」（51.5％）と「Microsoft Azure」（51.5％）だ。

　第3位は「Google Cloud Platform」（GCP、17.7％）だった（図2）。

図2　利用しているクラウドサービスプロバイダー（複数回答）

　図1で示したクラウドサービスの種類とクロス集計をしたところ、SaaS、IaaS、PaaSのいずれもAWSやMicrosoft Azureの利用率が高かった。ただしPaaSでは「Oracle Cloud」（15.3％）、SaaSでは「GCP」（20.8％）の利用率が目立った。

　既存環境との組み合わせから、データ分析基盤や分析用データウェアハウスにはGCPを利用するといったクラウドベンダーの強みが生きるケースもあり、ユーザーやSIerはそうした特徴をつかんでサービスを選定しているのだろう。

クラウドセキュリティ対策　ソリューション導入は4割以下にとどまる

　クラウドセキュリティへの取り組み状況はどうだろうか。調査の結果「対策をとっていない」（4.6％）は1割以下にとどまった。さすがにノーガード戦法を採る企業は少ない。

　採用が多かった施策は「データのバックアップ」（46.9％）や「ユーザーIDと権限の管理」（42.3％）、「不正アクセスの防止」（37.7％）だった（図3）。

図3　クラウドセキュリティ対策（複数回答）

　クラウドの種類ごとにみると、SaaSと比較してカスタマイズ性の高いIaaSやPaaSで「ホスト側のOSやソフトウェアの脆弱性の把握」や「不正アクセスの防止」「アクセスログの管理」への取り組みが多かった。SaaSでは仮想化環境やOS、ミドルウェアの管理をクラウドサービス提供者側が担うことが一般的だが、IaaSではユーザー側の責任になる。

　利用するクラウドサービスによって、ユーザーとサービス事業者の責任範囲が異なるため、利用時には対策の抜け穴が残らないように注意しなければならない。

　セキュリティを固めるにはクラウド用のソリューション導入が近道だろう。だが、導入があまり進んでいないことが分かった。

　確かにWAF（Web Application Firewall）やシングルサインオン（SSO）といったクラウドセキュリティ対策に有効なソリューションの導入状況を調査したところ、「導入済み」（37.1％）が、「導入予定はない」（24.2％）を上回っていた（図4）。

図4　クラウドセキュリティ対策ソリューションの導入状況

　だが回答者の7割がクラウドサービスを利用していることを鑑みると、過半数に至っていない状況は心もとない。「検討中」（24.2％）や「導入予定」（7.3％）を合わせると3割程度になることから、今後の導入状況に注目したい。

　導入状況では従業員規模による差がはっきり現れた。5000人以上の企業では過半数が導入している半面、500人以下の中堅・中小企業では3割以下にとどまった。これらの企業では「導入予定はない」にも回答が集まったことから、中堅・中小企業におけるクラウドセキュリティリスクの高さが浮き彫りとなった。

　それではなぜソリューションを導入しないのだろうか。理由としては「導入や運用の予算が不足」（46.7％）や「対応できる人員の不足」（43.3％）が多く、特に従業員数が500人以下の企業では、この2つが理由の7割以上を占めた。セキュリティ対策の必要性を認識しつつも予算や人員が限定されることで対応できない状況があるということだ。サイバー攻撃が企業の規模によらないことを考えると危険な状況にある。

　なお、予算については東京都中小企業振興公社が支援する「サイバーセキュリティ対策促進助成金」などの助成金や補助金などの利用も考えたい。定期的な情報収集によって、活路が見出せる可能性もあるということだ。

どのようなソリューションを選んでいるのか

　導入されているクラウドセキュリティ対策ソリューションの種類を聞いたところ、「多要素認証」（MFA、42.6％）や「シングルサインオン」（41.5％）といった認証関連に回答が集まった（図5）。ゼロトラストセキュリティの実装が進められている模様だ。

図5　クラウドセキュリティ対策ソリューションの導入状況（複数回答）

　次いで「WAF」（30.9％）や「Secure Web Gateway」（21.3％）などの不正アクセスやサイバー攻撃対策ソリューションが続いた。「CASB」（13.8％）や「CSPM」（Cloud Security Posture Management、8.5％）、「CWPP」（Cloud Workload Protection Platform、6.4％）といった、クラウドサービスに特化して可視化や監視、制御、暗号化などを行うサービス群についてはまだまだ利用率が低かった。

ソリューションの「満足度」は高いのか、低いのか

　導入済みのソリューションの満足度について聞いた結果、「どちらかといえば満足している」（26.6％）と「満足している」（6.4％）を合わせて、33.0％だった（図6）。

図6　クラウドセキュリティ対策ソリューションの満足度

　「どちらかといえば不満だ」と「不満だ」を合わせた回答は10.7％と全体の1割ほどだが、理由を聞くと「運用コストが高い」（55.7％）や「導入コストが高い」（37.5％）などコスト面に不満が集中していた（図7）。

図7　クラウドセキュリティ対策ソリューションで「不満」を感じる点（複数回答）

　前述のように、特に500人以下の企業ではコストと人員不足の2点がクラウドセキュリティ対策上の課題になっており、ソリューションの導入や運用においても同じ課題が現れていた。それよりも規模の大きな企業ではセキュリティ機能の重複や不足を不満として挙げる回答が多く、オンプレミスを含む既存環境で利用していたセキュリティツールとの使い分けや調整に問題があると予測できる。ただし全回答のうち、過半数は満足度について「どちらでもない」（56.4％）だった。クラウドセキュリティ対策ソリューションを導入している企業では、おおむね想定通りの成果を得られていると判断できそうだ。

　以上、前編では企業が利用しているクラウドサービスとクラウドセキュリティの対策状況について調査結果から現状を読み解いた。後編では、クラウドサービスを狙うサイバー攻撃に関する調査結果を取り上げ、企業におけるクラウドセキュリティ対策状況を深堀りしたい。