企業はクラウドの新たな現実に基づく見直しを
クラウドの導入が急速に進む一方で、今なお多くの企業はクラウド上の脅威の規模と複雑さを過小評価しています
技術の進歩は人間にしばしば恩恵をもたらしますが、同時に、継続的で複雑さを増すサイバーセキュリティの戦いに新たな局面を切り開いています。クラウドについて、私たちは今、重大な岐路に立っています。クラウドという形態は、適切に配備すれば、本来備わっているセキュリティ上のメリットを生かすことができます。ところが現実は、急成長中のあらゆるプラットフォームでインシデントとデータ漏えいが比例的に増加しています。
非営利のグローバル組織であるクラウドセキュリティアライアンス(Cloud Security Alliance:CSA)は、信頼できるクラウドエコシステムを作り上げるために、幅広い企業から成る業界連合として 10 年前に設立されました。その 10 年後、クラウドの導入は世界中の IT システムの標準となるまでに浸透しました。このエコシステムの進化に伴い、サイバーセキュリティ攻撃の複雑さと規模も拡大していきました。こうした推移が現在の体制に課題を突き付けています。企業は、結果として生じた問題に迅速に対処するために、基本的なテクノロジのトレンドと、絶えず変化する脅威動向、責任の共有について理解する必要があります。
その 10 年後、クラウドの導入は世界中の IT システムの標準となるまでに浸透しました。このエコシステムの進化に伴い、サイバーセキュリティ攻撃の複雑さと規模も拡大していきました。
急速に変化するクラウド環境
CSTR が明らかにし、CSA によって裏付けられることは、クラウド導入の動きが企業にとって性急すぎるということです。企業は増加する複雑さと制御の欠如に苦心しています。シマンテックの CSTR によると、回答者の半数以上(54%)が、新しいクラウドアプリケーションの急速な拡大に対して、自社のクラウド向けセキュリティ対策が十分に成熟していないことを認めています。
このレポートからは、企業がクラウド上の脅威の規模と複雑さを過小評価していることもわかります。たとえば、最も多く調査されたインシデントには、ありふれたデータ侵害、DDoS 攻撃、クラウド上のマルウェア感染などが含まれていたことが明らかになりました。ところが、シマンテックの内部データでは、クラウドセキュリティインシデントの過半数(64%)が、不正なアカウントによるアクセスであることが示されています。その手口は、単純なエクスプロイトから水平移動やクラウド間攻撃といった巧妙なものまで、種類はさまざまです。企業は自社の脆弱性を認識し始めています。CSTR の回答者の 2/3 近く(65%)が、自社のクラウドインフラの複雑さが増すことで、まったく新しい危険な脅威ベクトルが出現すると考えています。
たとえばクラウドでは、ID に関連する攻撃が増大しています。ID とアクセスを適切に管理することは、高度に仮想化されたテクノロジスタック内の複数のドメインでセキュリティの基盤となります。クラウドの「スピンアップ」に要するスピードと、多くの場合は分散された構成によって、人的ミスが増加し、攻撃者に悪用される脆弱性が生じます。クラウドの詳細な使用状況が可視化されないと、最適なポリシー策定と制御を実施することができません。
このレポートからは、企業がクラウド上の脅威の規模と複雑さを過小評価していることもわかります。
CSA がこのレポートを掘り下げて調べたところ、ベストプラクティス調査と私たちが推奨する教育が密に連携していることがわかりました。CSTR が示すとおり、ソフトウェアデファインドの境界を作成するゼロトラスト戦略と、サーバーレスおよびコンテナ化テクノロジの採用は成熟したクラウドセキュリティ体制において重要な構成要素です。
また、CSTR では、関係者の積極的な参加を促し、社内の全員が同じロードマップに基づいて動けるよう、クラウド CoE(Cloud Center of Excellence:CCoE)が支援する強力なガバナンス戦略の策定を企業に推奨しています。変化の猛烈なスピードに対処するには、調達や配備といった初期段階にのみ力を入れるのではなく、セキュリティというものを継続的なプロセスとして位置付ける必要があります。
CSTR が提示し、私たちが確信しているのは、拡張性を視野に入れてセキュリティアーキテクチャを設計する必要もあるということです。また、自動化や DevSecOps などのクラウドネーティブなアプローチを採り入れて、エラーを最小限に抑え、限られた人的リソースを最適化し、新しい制御体制を整えるようにします。
クラウド運用を保護するための明確な戦略があっても、変革に踏み出している企業はごく少数です。シマンテックの内部データによれば、CIS(Center for Internet Security)がまとめたセキュリティのベストプラクティスを 85% の企業が使用していないことが明らかとなっています。その結果、CSTR の回答者の 3/4 近くが、こうした未成熟な対策が原因で、クラウドベースのインフラでセキュリティインシデントが発生していると回答しています。
CSTR はこうした意識を高めるための重要な第一歩です。
幸いなことに、クラウドユーザー向けのソリューションは充実しています。多要素認証、データ漏えい防止、暗号化、ID および認証ツールなどを自由に使って、新しいプロセスと、教育を受けた従業員とともに、クラウドセキュリティ上の脅威に対処できます。一方で、多くのクラウドユーザーはクラウド導入という事の重大さや、責任共有モデルにおける責任の線引きを理解していません。また、セキュリティの古いベストプラクティスをいまだに使っている傾向があります。CSTR はこうした意識を高めるための重要な第一歩です。
クラウドは IT の中心であり、今後も中心であり続けるでしょう。そしてサイバーセキュリティの基盤にもなりつつあります。クラウドの脅威ベクトルの変化を理解することは、企業のセキュリティプログラムと戦略を見直し、現代化するために欠かせません。CSA はシマンテックの CSTR レポートを幅広い層に読んでいただくことを推奨しています。私たちも今後の更新を楽しみにしています。
We encourage you to share your thoughts on your favorite social platform.