クラウドセキュリティの現実的な問題と解決策

クラウドセキュリティの現実的な問題と解決策

2022年のタレスグローバルクラウドセキュリティ (Thales Global Cloud Security Study) 調査によると、ビジネスの45%が昨年、クラウドデータの侵害を経験したか、監査を通じて脆弱性が発見されました。興味深いことに、この数字は前年比で5%減少しました。これは、クラウドセキュリティの実際の改善があったことを意味するのでしょうか? 

実際のところ、「これまでで最悪」と表現するのも大げさではないかもしれません。クラウドセキュリティへの投資が減少しているにもかかわらず、クラウドベースのプラットフォームへの依存は絶対的になっています。熟練したクラウドセキュリティの専門家が不足しているため、多くの企業は経験が不足している個人を雇用せざるを得なくなっています。特に、生成AIを利用した新しいハッキングツールの出現により、多くの企業が新たな脅威に対応するのが難しくなっています。 

【関連記事】 

目次

制御を超えたデータ

一つずつ懸念事項を検討しましょう。「シャドウデータ」の出現は特に警戒すべき事態です。シャドウデータとは、IT部門の認識や管理を経ずに、企業内で作成、保存、配布されるデータを指します。通常、このようなデータは、認可されたり監視されたりするシステムの外部に存在し、従業員のデバイス、クラウドサービス、または他の未認可または未知のアプリケーションに保存されています。 

例えば、企業のクラウドデータベースから機密性の高い企業文書をリモートワーク用にダウンロードし、USBドライブに保存したり、SaaSアプリケーションから顧客リストを抽出して出張前に自分自身にメールで送信したりする行為は、すべてシャドウデータの使用例です。シャドウデータには機密性または秘匿性の高い情報が含まれており、その外部への露出はデータセキュリティ、コンプライアンス、ガバナンスに対する脅威となります。実際のところ、これはクラウドセキュリティの問題というよりも、トレーニングと教育の問題です。このようなデータの使用を制限し、その使用を監視することは可能ですが、基本的にこのデータが画面に表示されると、それは本質的に安全でないシャドウデータとなります。 

この問題がトレーニングと人間の行動に関わるものであるという事実は、それを解決することをさらに困難にしています。ITセキュリティ専門家は、問題を解決するためにツールや技術を使用することに慣れていますが、これがセキュリティに関する誤解を広めることにつながることがあります。言い換えれば、データを適切に扱う方法についての教育が必要ですが、IT実務者はそれを他人の責任と考えがちです。その結果、この問題はしばしば人事部に押し付けられ、大きく見過ごされがちです。 

誤った設定の問題

クラウドデータにとって最も重大ながらしばしば見過ごされがちな脅威の一つが、設定の問題です。実際、どのデータ侵害事故を調査しても、驚くべき設定ミスが事故につながったことがよくあります。最近の例として、ある大手自動車会社がクラウドストレージシステムを誤設定し、200万人以上のユーザー情報が露出した事例があります。 

これらの事故は通常、適切に設定されたセキュリティシステムを迂回してデータにアクセスすることを含みません。より一般的には、ストレージシステムが外部に直接露出しているか、データベースが必要なほど暗号化されていないことが問題です。実務者はしばしば、クラウドベースのシステムやデータストアのセキュリティを正しく設定する方法を知りません。この問題も、以前に述べた熟練した人材の不足から生じています。結局のところ、重大なデータ侵害が発生するとき、それはしばしばこのような形で発生します。 

その他の脅威

考慮すべき新たな脅威もあります。セキュリティが不十分なAPIが典型的な例です。もしあなたがクラウドベースのプラットフォームでの開発やデプロイメントに関わっているなら、APIはおそらく重要な役割を果たしているでしょう。これらのAPIはクラウドベンダーによって提供されますが、エンタープライズアプリにも組み込まれています。それらは企業インフラの鍵であり、しばしば企業データへの無制限のアクセス経路として放置されます。 

成長しているもう一つの脅威は、生成AIシステムを使用したハッキングの自動化です。そのようなAIベースの攻撃は、既に現実に発生しています。ハッカーがAIシステムの利用に熟練するにつれて、最も洗練されたセキュリティシステムに対する自動化された攻撃が発生します。これらの新しく革新的な攻撃に対応することは非常に困難です。実際に、生成AIを通じて得られたアプリケーションコードを使用して攻撃システムを作成し、実行することは、そのような攻撃が成功するのは時間の問題であることを意味します。現場のIT実務者にとって、これらの攻撃に対抗するための防衛機構を迅速に拡張することはほぼ不可能です。 

実行すべきこと

これはクラウドセキュリティにとってかなり厳しい見通しを示しています。それにもかかわらず、より安全なクラウドプラットフォームを作成するための最良の方法は、基本に忠実であることにあります:ゼロトラストセキュリティの実装と利用可能な最高のクラウドセキュリティツールの獲得です。これにより、企業は少なくとも他のビジネスと比較してハッカーにとってより困難なターゲットになります。これは、鍵がかかっている自転車は盗まれにくいのと似ています。泥棒が数秒で鍵を切り抜けることができるかもしれませんが、まったく鍵がかかっていない隣の自転車に手を出す可能性の方が高いでしょう。 

これらの脆弱性を軽減するためには、クラウドセキュリティに関する知識を企業全体でアップグレードする必要があります。ここには2つの重要なポイントがあります。第一に、営業幹部からエントリーレベルの従業員に至るまで、クラウドサービスのユーザーは自らのセキュリティ実践を改善する必要があります。教育とガバナンスを提供し、規制外のデータの使用について個人を責任を持たせる必要があります。 

 第二に、セキュリティの専門知識を強化する必要があります。トレーニングへのサポートの増加と、そのようなトレーニングに時間を確保することが不可欠です。場合によっては、より高い給与を提供することも必要かもしれません。私はよく、セキュリティ実務家があらゆる場所で火消しに忙しく、重要な学習の時間がないと聞きます。しかし、これらの火事が最初になぜ起きているのかを考えることが重要です。現在、学習の不足が感じられるなら、企業全体での変化の時です。 

CMC Japanがお手伝いできること

CMC Japanは、品質とセキュリティの両方を優先する優れたクラウドサービスを提供する能力に自信を持っています。VB 100ウイルス、ISO 27001などの一流の認証や、プラチナパートナーとしてのISTQBとの協力関係など、私たちはデータとシステムの安全を保証します。 

クラウド化へのご関心がある方は、CMC JapanのIT専門家による無料相談をお見逃しなく。 

>> CMC Japan会社概要ダウンロード <<