クラウドデータ侵害の主な原因は何か？ タレスがグローバル調査を発表：セキュリティニュースアラート

タレスジャパンは2024年度の「クラウドセキュリティ調査」の日本語版を公開した。18カ国37業界の約3000人のITおよびセキュリティ専門家を対象に、企業におけるクラウドセキュリティの実態と脅威トレンドなどがまとめられている。

[後藤大地，有限会社オングス]

　タレスジャパンは2024年8月1日、2024年度の「クラウドセキュリティ調査」の日本語版を公開した。この年次レポートは、18カ国37の業界における約3000人のITおよびセキュリティ専門家を対象に実施された調査を基にクラウドセキュリティの実態やトレンド、新たなリスクについての洞察がまとめられている。

ここだけは押さえておきたいクラウドデータ侵害の主な原因とは？

　主な調査結果は以下の通りだ。

• クラウドセキュリティへの支出が他の全てのセキュリティ支出カテゴリーを上回った
• クラウドに保存される企業データの約半数（世界：47％、日本：46％）が機密情報だった
• 世界の44％、日本の38％の組織がクラウドデータの侵害を経験しており、過去1年間では14％（日本：14％）の組織が経験している
• 世界の企業の約半数（世界：51％、日本：46％）が「クラウドのコンプライアンスとプライバシー管理はオンプレミスより困難である」と回答した
• 組織の約3分の1（世界：31％、日本：29％）がクラウド環境の将来を見据えてデジタル主権対策の重要性を認識している

　調査によると、クラウドリソースがサイバー攻撃の主要な標的となっており、SaaS（世界：39％、日本：36％）、クラウドストレージ（世界：39％、日本：35％）、クラウド管理インフラ（世界：33％、日本：40％）が攻撃を受けやすい状況となっている。

　世界では44％の組織（日本：38％）がクラウドデータの侵害を経験しており、過去12カ月間では14％（日本：14％）の組織が被害を受けている。侵害の主な原因として、世界的には「人為的ミス・設定ミス」（31％）が最も多く、次いで「既知の脆弱（ぜいじゃく）性の悪用」（28％）、「ゼロデイ／新型／未知の脆弱性の悪用」（24％）、「多要素認証の不使用」（17％）が挙げられている。一方、日本企業では「既知の脆弱性の悪用」（31％）が最も多く、次いで「ゼロデイ・未知の脆弱性の悪用」（30％）、「人為的ミス・設定ミス」（28％）となっている。

　企業全体でクラウドの利用が増えるにつれて、潜在的な攻撃対象領域も広がっている。世界では66％以上の企業（日本：63％）が25以上のSaaSを利用しており、企業データの約半分（世界：47％、日本：46％）が機密情報となっている。クラウド上の機密情報に対するリスクが高まる一方、クラウド上の機密情報の80％以上を暗号化している企業は10％未満（世界：7％、日本：6％）にとどまっている。

　Thalesのクラウドプロテクション&ライセンシング活動担当シニア・バイス・プレジデントであるSebastien Cano（セバスチャン・カノー）氏は、次のように述べている。

　「クラウドの拡張性と柔軟性は組織にとって非常に魅力的であり、セキュリティ戦略の中心となっています。しかし、クラウドの攻撃対象が広がるにつれ、企業はクラウド内のデータ、それを暗号化するために使用している鍵、そしてそのデータにアクセスしている人物とその使用方法を完全に可視化する能力をしっかりと把握する必要があります。今回の調査では、データ主権とプライバシーが最大課題として挙げられており、これらを直ちに解決することが極めて重要です」

　クラウド利用の経験が増えるにつれ、多くの組織が新しいセキュリティ課題に対応するための投資を強化している。特にデジタル主権を重視する組織では、クラウドデータを論理的に分離、保護し、保存、処理することを目的としたアプリケーションのリファクタリングが最も重要視されている。デジタル主権対策を進める理由としては、「クラウド環境の将来を見据えた対策」（世界：31％、日本：29％）が最も多く、次に「規制の順守」（世界：22％、日本：21％）が挙げられている。