安易なクラウド移行は何をもたらすのか、企業が陥る3つの落とし穴とは

社内アプリケーションをクラウドに移行する動きが止まらない。だが、サイバー攻撃のリスクは「オンプレミスよりもクラウドの方が高い」と考える社内担当者は51％に上る。守りを固めなければ、被害は増す一方だ。どうすればよいのだろうか。

[David Jones，Cybersecurity Dive]

　企業はクラウドを用いたDX（デジタルトランスフォーメーション）を急速に進めている。現在、5社のうち2社がクラウドでアプリケーションをホストしているという。この数字は今後18カ月で5社のうち3社近くまで増加すると予想されている。

　だが、半数以上の企業の担当者は、オンプレミス環境と比較して、クラウド環境ではセキュリテリスクが高いとみている。クラウドの方が危険なのであれば、より効果的な対策が必要だろう。どうすれば良いのだろうか。

オンプレミスとは違うクラウドの守り方

　クラウドへの移行に伴い、運用やセキュリティに関する懸念が顕在化している。アカウントの乗っ取りやランサムウェア攻撃、データプライバシー問題、国家の支援を受けたサイバー攻撃など課題は多岐にわたる。

　サイバーセキュリティソフトウェアを手掛けるVenafiの調査（注1）はクラウドの危険性を明らかにした。81％の企業で、過去12カ月間にクラウド関連のセキュリティインシデントが発生した。そのうちの約半数は、同期間に少なくとも4件のインシデントを報告している。調査の中でサイバー攻撃のリスクは「オンプレミスよりもクラウドの方が高い」と51％の回答者が答えているのも当然だろう。

　調査によれば、企業がよく遭遇するセキュリティインシデントは3つに分けられる。「実行時のインシデント」「不正アクセス」「設定ミス」だ。いずれも回答者の3分の1以上が挙げている項目だ。

　Venafiのセキュリティ戦略・脅威インテリジェンス担当バイスプレジデントであるケビン・ボセク氏は、次のように述べる。

　「クラウドの攻撃対象として最も狙われるのは、アイデンティティー管理、特に『マシンID管理』だ」

誰が責任を持つべきなのか

　今回はクラウドベースのアプリケーションを保護するための責任が、社内のどの部署にあるのかも調べた。

　最も多かったのが企業のセキュリティチーム（25％）であり、次いで、クラウドインフラを担当する運用チーム（23％）、コラボレーションチーム（22％）とDevSecOps（Development, Security, and Operations）チーム（10％）などが続いた。

　だが、どのチームが担当していても、セキュリティインシデントをうまく減らすことができていなかった。つまり担当部署の問題ではなく、守り方の問題なのだ。

　今回の調査は1101人のセキュリティ意思決定者を対象に、委託を受けたSapio Researchが2022年7月に実施した。米国や英国、フランス、ドイツ、ベネルクス諸国、オーストラリアの担当者が対象だ。

出典：Most organizations had a cloud-related security incident in the past year（Cybersecurity Dive）

注1：81% of Companies have had a Cloud Security Incident in the Last Year [Venafi Research]