Contact Us

SafeNet、Ponemon社とのクラウドセキュリティ調査を発表、セキュリティ対策が劣勢にあることが判明

• クラウドに保存されている企業データの4割強がIT部門の管理外にあり、IT部門はクラウド上の企業データ管理の難しさに直面している
• 多くの企業でクラウド上のデータ管理に関し一括して責任を取れる部署が設けられていない
• データ保護に暗号化や多要素認証を採用する企業が増加しており、従来のデータ
セキュリティ対策をクラウドに適用するのが困難と判明。

米国・ボルチモア
November 06, 2014

データ保護ソリューションのグローバルリーダーであるSafeNet, Inc(以下、SafeNetPonemon Instituteに委託した調査で、IT部門の過半数がクラウド上の企業データの保護について把握しておらず、機密情報が危険にさらされていることが判明した事を発表しました。「クラウド情報ガバナンスの課題:データセキュリティに関するグローバル調査1」と題した調査で、日本を含む世界各国のITおよびITセキュリティの専門家1800名以上を対象に行われたものです。

注釈1:英文調査名:The Challenges of Cloud Information Governance: A Global Data Security Study, Ponemon Institute LLC, October 2014

本調査では、多くの企業でクラウドコンピューティングを活用する傾向がますます高まっている一方で、IT部門の担当者がクラウドに保存されるデータの管理やセキュリティの統制に苦労していることが明らかになりました。本調査で、クラウド上の機密情報の保護について役割や責任を明確に定義している企業はわずか38%に過ぎないことが判明しました。さらに、クラウドに保存されている企業データの44%がIT部門の管理下や制御下にないことが混乱に追い打ちをかける結果となっています。調査に回答したIT担当者のうち3分の2以上(71%)は、従来のセキュリティ対策ではクラウド上の機密情報の保護が困難であると述べています。

Ponemon社の会長兼創業者であるDr. Larry Ponemonは次のように述べています。「グローバル企業が重要なガバナンスとセキュリティ対策が不足しているため、クラウド上のデータ保護に難航していることが、本調査で明らかになりました。より安全なクラウド環境の構築には、簡単なステップから始めることを推奨します。例えば、セキュリティポリシーや方法を決定する際にITセキュリティを含めることや、クラウドアプリケーションやプラットフォーム、インフラの利用にあたって可視性を高めること、そして、データ暗号化や多要素認証などのより強力なアクセス制御で保護することなどです。」

調査結果の主な内容

クラウドの需要が高まるにつれ、企業の機密データのリスクが増加

IT担当者の回答の4分の3近く(71%)は、クラウドコンピューティングは現在とても重要であると考え、4分の3以上(78%)は今後2年もその状況は変わらないだろうと答えています。また、それぞれの企業のITおよびデータ処理要件のうちクラウド上で処理している案件は現時点で平均33%で、2年後には41%になると推測しています。

しかし、大多数(70%)の回答者は、クラウド環境でのプライバシー管理やデータ保護の統制管理はより複雑であると回答し、Eメール、消費者や顧客データ、支払い情報などのクラウド上の企業データが最も危険な状態にあると回答しています。

クラウドセキュリティ、シャドーIT、アカウンタビリティの必要性について

平均して、クラウドサービスの半分がIT部門以外の部門が導入を行っていて、クラウドに保存されている企業データのうち平均44%はIT部門以外が管理や制御を行っています。その結果、調査に回答したIT担当者のうち「自社で現在利用しているクラウドのアプリケーション、プラットフォーム、インフラサービスすべてを確実に把握している」と答えたのは19%だけでした。

クラウドサービスのリソースが厳格に管理されていないことに加え、クラウド上のデータセキュリティについて誰が責任を負うべきかについても見解が分かれています。回答者のうち35%はクラウドのユーザーとサービスプロバイダーの共同責任であると考え、33%はクラウドユーザーの責任、32%はサービスプロバイダーの責任だと考えています。

データ保護に暗号化や多要素認証を採用する企業が増加しており、従来のデータ

セキュリティ対策をクラウドに適用するのが困難と認識している

暗号化と多要素認証が従来のセキュリティ対策に代わる強力な代替策として注目されている

回答者の3分の2以上(71%)は、従来のセキュリティ対策ではクラウド上で機密情報を保護することはより困難であると答え、約半数(48%)はクラウド上のデータへのエンドユーザーのアクセスを制御、制限することはより難しいと答えています。そのため、3分の1を超える(34%)IT専門家が、特定のクラウドコンピューティングリソースを利用する場合に暗号化などのセキュリティ対策を義務付けるポリシーを導入していると答えています。回答者の71%は、機密情報を暗号化またはトークン化できるようにすることが重要だと答え、また79%はそうした対策が今後2年間でますます重要となるだろうと答えています。

クラウド上のデータ保護のために現在実施している対策については、43%の回答者がプライベートネットワーク接続を使用していると述べています。39%の回答者が、暗号化、トークナイゼーション、またはその他の暗号化ツールを使いクラウド上のデータを保護していると述べています。また、33%は自社のセキュリティ対策について把握していないと答え、29%はクラウドプロバイダーが提供するプレミアムセキュリティサービスを利用していると回答しました。

さらに回答者は、自社で使用する鍵管理や暗号化のプラットフォーム数が増えている中、クラウド上のデータ保護には暗号鍵の管理も重要であると述べています。54%の回答者は、データがクラウドに保存される際に暗号鍵を管理していると答えています。しかし、45%は暗号鍵をデータが保存されるソフトウェア内に保存していると答え、暗号鍵をハードウェアデバイスなどのさらに安全な環境に保存していると回答したのは27%でした。

クラウド上のデータへのアクセスに関しては、68%の回答者がクラウドのユーザーIDの管理がより難しくなると答え、62%は自社では第三者がクラウドへアクセスしていると回答しています。また約半数(46%)は、クラウド環境での第三者によるデータへのアクセスに自社では多要素認証を使用していると回答し、ほぼ同数(48%)が社員によるクラウドへのアクセスに多要素認証を使用していると答えています。

SafeNet最高戦略責任者のツィーオン・ゴーネンは次のように述べています。「クラウドはITのあり方に革命をもたらしましたが、IT部門の多くはこうしたサービスへの需要の増加や、重要なデータがクラウドに保存される際に生じるセキュリティ課題に対応しきれていない状況です。2014年に起きた多くの記録的なデータ漏えい事件に見られるように、企業はさまざまな角度からの攻撃に頻繁にさらされ続けています。リスクを軽減するためには、焦点の定まった協力体制とクラウド上のデータ保護に対する新しいアプローチが必要です。そしてその中心にITを据えるべきです」。

クラウド上でのデータセキュリティのための主な推奨事項

 

  • IT部門の役割は変化しており、クラウドITという新しい現実に適応していかねばなりません。そのために必要とされていることは、セキュリティに関する社員教育、データに関するガバナンスとコンプライアンスの包括的なポリシーの設定、クラウドサービスのソーシングについてのガイドラインの作成、そしてクラウドに保存すべきデータとそうではないデータを区分するためのルールの確立などです。 
  • IT部門は、クラウドでのデータ保護管理を集中的に行う一方で、社内の各部署がクラウドベースのサービスを必要に応じてソーシングできるようなデータセキュリティ対策(「エンクリプション・アズ・ア・サービス」など)を導入することにより、「シャドーIT」の使用を可能にしながら企業データを保護することができるのです。 
  • 企業がますます多くのデータをクラウドに保存し、社員向けのクラウドベースのサービスをさらに活用するようになるにつれ、IT部門は多要素認証によるより強固なユーザーアクセス制御に注力していく必要があります。これは、第三者やベンダーをクラウド上のデータへアクセスさせている企業では特に重要です。集中的に管理できる多要素認証ソリューションにより、クラウドであってもオンプレミスであってもアプリケーションやデータへのアクセスをより安全に提供することができます。 

 


資料

 

 

About SafeNet, Inc.

Founded in 1983, SafeNet, Inc. is one of the largest information security companies in the world, and is trusted to protect the most sensitive data for market-leading organizations around the globe. SafeNet’s data-centric approach focuses on the protection of high-value information throughout its lifecycle, from the data center to the cloud. More than 25,000 customers across commercial enterprises and government agencies trust SafeNet to protect and control access to sensitive data, manage risk, ensure compliance, and secure virtual and cloud environments.  Learn more about SafeNet on Twitter, LinkedIn, Facebook, YouTube, and Google+.