マカフィーレポート:クラウド上のデータは予想以上に危険に晒されている
マカフィー株式会社
マカフィーレポート:クラウド上のデータは予想以上に危険に晒されている
クラウド上の機密情報、SaaSでのコラボレーション(協働)、
IaaS/PaaSにおける設定ミスが増加するにつれ、クラウド上の脅威も増大
主な調査結果:
・クラウド上の全ファイル中、機密データは21%。年々着実に増加
・オープン且つ、一般からアクセス可能なリンク経由での機密データの共有は前年比で23%増
・パブリッククラウドを使用する企業では、IaaS、PaaSなどのインスタンスで毎月あたり2,200件以上の設定ミスによるインシデントが発生
・クラウドでの脅威インシデント、たとえばアカウント侵害、特権ユーザーなどの内部脅威は前年比で27.7%増
デバイスからクラウドまでを保護するサイバーセキュリティ企業である米国マカフィー(McAfee LLC、本社:米国カリフォルニア州)は、「Cloud Adoption and Risk Report(クラウドの採用とリスクに関するレポート)」を発表しました。本レポートは、クラウドの採用とリスクを明らかにするため、匿名化されたクラウド上の数十億単位のイベントを分析し、その結果をまとめたものです。今回の調査により、クラウド上に格納されている全データのうち21%が機密データに該当し、盗難や漏洩が生じれば企業が危機に直面することが明らかになりました。クラウド上での機密データの共有が対前年比で53%増加していることも相まって、データ保護、システム構成の監査、そしてコラボレーションの制御など、クラウドベースのセキュリティ戦略がない企業は、最も重要な資産、すなわちデータを危険に晒し、また内外の規制違反を引きおこす危険が一層高まります。
この調査では、企業は積極的にパブリッククラウドを利用し、顧客向けの新たなデジタル体験の創造を図る一方で、IaaSやPaaSインスタンスで月平均約2,200件以上もの設定ミスを発生させていることが明らかになりました。クラウドサービス事業者はクラウドそのもののセキュリティについては責任を負いますが、顧客のデータや顧客のインフラ、プラットフォームは事業者側の責任範疇ではありません。自社のデータを護るのは、どこに格納されているにせよ、その企業の責任です。そのためには、SaaSからIaaSやPaaSまでをカバーする、クラウド全般のセキュリティソリューションが必要となります。
米国マカフィーのクラウドセキュリティ事業部 上席バイスプレジデントであるラジブ・グプタ(Rajiv Gupta)は、次のように述べています。「クラウドを利用した業務遂行はもはや標準となり、社員は躊躇なく機密データをクラウドに格納、共有するようになっています。意図しない共有やSaaS上のコラボレーションでのエラー、IaaSやPaaSクラウドサービス上での設定ミスや脅威は増加しています。ビジネスを加速するために、企業はクラウドネイティブでスムーズな方法で自社のデータを保護し、SaaS、IaaSおよびPaaS全般にわたって脅威から護る必要があります。」
クラウド上でのコラボレーションの長所と短所:
クラウドサービスはその優れた拡張性からビジネスを加速して好機をもたらし、迅速なリソースの活用やコラボレーションを可能にします。BoxやOffice 365などのクラウドサービスは、コラボレーションの迅速性と効果を増大するために利用されています。しかし、コラボレーションとは共有することであり、無制御な共有は機密データを危険に晒す可能性があります。
今回の調査では、以下のような実態が明らかになりました。
・外部とファイルを共有するクラウドユーザーは全体の22%、前年比21%増
・機密データをオープンで一般からアクセス可能なリンク経由で共有するケースが前年比で23%増
・機密データの個人メールへの送付は前年比12%増
クラウド上で機密データの安全な保管、ファイル共有、コラボレーションを行うには、企業はまず自社が使用しているクラウドサービスを把握し、どこに機密データが格納されているのか、どのように、そして誰とその機密データを共有しているのかを確認しなければなりません。それらを把握しないと、適切なセキュリティポリシーの強化を図ることはできないのです。実態を把握することで、重要な機密データの未許可のクラウドサービスへの格納を禁じ、許可されたクラウドサービスにおける機密データの不適切な共有、例えば個人的なメールアドレスへの転送やオープンで一般からアクセス可能なリンクを経由した共有などを防止するための、いわば「ガードレール」を設置することが可能になります。
使用しているクラウドサービスの認識と現実:
2018 年 4 月に、マカフィーは「クラウド環境の現状レポートと今後: クラウドの安全性の状況と実用的ガイダンス」というレポートを発行しました。これは 11 か国 1,400 名の IT 専門家に対する、組織のクラウド利用に関する 100 問以上の質問を含む調査をもとにしています。今回のレポートでは、この調査の回答と、今回のマカフィーの分析からわかった現実を比較した内容も収めています。
4月の調査では、自社組織内で使用されているクラウド サービス数を推測するよう尋ねました。平均的な回答は 31で、80 以上あると考えている回答者がわずか 2% 、日本の場合は37という結果でした。一方で、今回の分析でわかった実際企業で使用されているクラウドサービスの平均は 、1,935という結果でした。非常に驚くべき認識のギャップがあることがわかります。つまりIT 部門は 98% のクラウド サービスを認識していないということを意味しています。これは明らかにクラウドのリスクにつながります。
IaaSの設定ミスのリスク:
SaaSではデータ保護、ユーザーIDの管理、データへのアクセス管理は利用者側の責任です。一方、IaaSでは、データ、ID、アクセスに加え、さらにアプリケーション、ネットワーク制御、ホストインフラ等についても、利用者側が責任を負います。これは自社のクラウドインフラに対してより大きな制御を施せる反面、セキュリティーリスクに晒される範囲とそれに対する責任が増大します。アマゾン ウェブ サービス(AWS)などのIaaS型サービスは複数のインフラ プラットフォーム サービスを提供していますが、それぞれに複雑なセキュリティ設定が必要になります。IaaSやPaaS等のセキュリティ問題が増大しているのは、企業が複数のIaaS、PaaSベンダーを利用し、それぞれのベンダーの複数のインスタンスを運用しているからです。
今回の調査では、以下のような実態が明らかになりました。
・IaaS、PaaSの利用ではAWSの割合が94%と最も多いものの、78%はAWSとAzureを併用
・企業のIaaS、PaaSの設定ミス関連のインシデントは一度の運用で平均して14件、その結果、
設定ミスの件数は月ベースで2,200件超
・AWS S3バケットの5.5%は、ワールドリード許可設定がされ、一般公開の状態に
マカフィーでは標準的なセキュリティ対策の一環として、導入したAWS、Azure、Google Cloud Platformや他のIaaS、PaaSの設定に対して常に監査、監視を行い、IaaSやPaaSプラットフォームに格納された情報を保護することを推奨しています。オンプレミス型のデータセンターの代替として、IaaS、PaaSの利用は急速に拡大しています。企業は、SaaSクラウドサービスにおける自社のデータ保護と脅威からの防御、IaaS、PaaSクラウドサービスにおける適切な設定、ワークロードの安全の確保などのセキュリティ対策の責任を果たし、セキュリティ インシデントを未然に防止することが重要です。
アカウント侵害と内部脅威:
クラウド上のデータに対する脅威の大半は、アカウント侵害と内部脅威に起因します。クラウドを利用するエンタープライズ企業では、クラウド上に生成される平均イベント数は月間32億件を超え、その内異常イベントが3,217件、実質的な脅威イベントは31.3件となっています。アカウント侵害と内部脅威について、今回の調査結果では、以下のような実態も明らかになりました。
・アカウント侵害、特権ユーザーまたは内部脅威などのクラウド上の脅威は、前年比で27.7%増
・調査対象の全組織の内80%は、少なくとも1件/月のアカウント侵害が発生
・調査対象の全組織の内92%ではクラウド認証情報が盗まれ、ダーク・ウェブ上で販売されている
・Office365での脅威は、前年比で63%増
アカウント侵害や内部脅威に備えるためには、企業はクラウドサービスがどのように利用されているかを把握する必要があります。また、同じユーザーが同時に複数の異なった場所からアクセスするなど、アカウントの不正利用の恐れがある異常なイベントの特定も必要です。
以上のような実態を改善するためにクラウド上のデータ保護に向けてまず取り組むべきことは、CASB(Cloud Access Security Brokers)(英語)の導入です。CASBはクラウドネイティブのセキュリティサービスで、クラウドサービスのセキュリティ、コンプライアンス、そしてガバナンスポリシーを強化します。CASBは既存のセキュリティ対策を活用し、新たなクラウドネイティブなセキュリティと組み合わせることで、SaaS、IaaS、およびPaaS全般にわたって企業のデータの保護と脅威からの防御を可能にします。
参考資料:
・McAfee MVISION Cloud
https://www.mcafee.com/enterprise/ja-jp/products/mvision-cloud.html
・クラウド環境の現状レポートと今後: クラウドの安全性の状況と実用的ガイダンス
https://www.mcafee.com/enterprise/ja-jp/solutions/lp/cloud-security-report.html
・2016 Office365 Adoption &Risk Report(英語)
https://info.skyhighnetworks.com/WPOffice365CARRQ22016_BannerCloud-MFE.html
調査方法:
当社では、McAfee MVISION Cloud ユーザーのクラウドサービス利用状況を25,000以上のクラウドサービスで用いられるデジタルシグネチャを分析し、追跡しています。今回の「Cloud Adoption and Risk Report(クラウドの採用とリスクに関するレポート)」の作成にあたり、そのうち3,000万人超相当の利用状況に関する匿名化されたデータを分析・集計しました。また、調査を補足する関連データとして、パブリックまたはプライベートクラウドサービスのユーザーである11ヵ国のセキュリティ専門家1,400人を対象とした調査(2018年)も引用しています。
■マカフィーについて
マカフィーはデバイスからクラウドまでを保護するサイバーセキュリティ企業です。業界、製品、組織、そして個人の垣根を越えて共に力を合わせることで実現するより安全な世界を目指し、マカフィーは企業、そして個人向けのセキュリティ ソリューションを提供しています。詳細は http://www.mcafee.com/jp/ をご覧ください。
*McAfee、McAfeeのロゴは、米国およびその他の国におけるMcAfee, LLCの商標です。
*その他の製品名やブランドは、該当各社の商標です。
「みやざき春旅クーポンキャンペーン」3月28日開始 3千円分の宮崎旅行支援
美的グループの2023年収益が3,737億元、収益・利益の新記録
「LINEマンガ」で爆発的な人気を誇る『先輩はおとこのこ』アクリルキーホルダー全5種を全国のガチャガチャで3月28日に発売
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
「けつぷりぷりやないかい」グラビアアイドル麻倉瑞季、レオタードでキュートなヒップライン披露
EIG傘下のミッドオーシャン・エネルギー、オーストラリアの統合LNGプロジェクトのポートフォリオにおける東京ガス保有の権益を取得
TWICE・ミナ、FENDIのドレスで最強美デコルテ・美脚を魅せつけファンの視線を魅了
【一覧】ロッテの開幕1軍メンバーと過去10年の開幕戦結果
北海道の1か月予報 空気カラカラに 週末は黄砂に注意 気温が高く桜の開花を後押し
【3月29日生まれの著名人】西島秀俊、篠原ともえ、鈴木亮平、里田まい、柏木ひなたら
クロちゃんを騙した「レイちゃま(小林レイミ)」の現在が別人すぎると話題に
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
岡本夏生(56)、1600日ぶりにブログを更新した現在が衝撃
なぜ水原一平氏が送金できたのか? の疑問に財務省OB高橋洋一氏「難しくない。できるよ」
大谷翔平の口座に「勝手に」アクセスした水原一平氏の手口に「思い当たる節ある」二宮清純氏告白
性被害告白の元女優「女性としての喜びは断たれてしまい」「気持ちがいいと感じたこともない」
壇蜜、事務所破産報道めぐる直撃に「どうしよう、という思い」 2~3週間前に聞き「ショック」
ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白
壇蜜、所属事務所の破産手続き報道にショック「なくなるんだよと聞きました。どうしよう、と」
弁護士の菊間千乃氏、大谷翔平会見「嘘をついているようには見えなかった」理由「いつもより…」
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
ガーシー、またも綾野剛の暴露写真でネット歓喜「この写真見て笑っちゃう」
クロちゃんを騙した「レイちゃま(小林レイミ)」の現在が別人すぎると話題に
玉置浩二の妻、青田典子(53)の現在がとんでもない事になっていると話題に
ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白
ゲス不倫で干されたベッキー(35)現在の姿がとんでもないことになっていると話題に
ツチヤカレン、7月5日にメジャー2ndシングル『メーデー』リリース&TikTok Live配信決定!
城田優(35)三浦春馬ファンから誹謗中傷、酷すぎると話題に
日めくりカレンダー 『音楽家の名言~あなたの演奏を変えるメッセージ~』 『クラシックの作曲家』 6月27日 同時発売!
「知らない人多すぎ!」フロントガラスの「▲マーク」は何のため!? なんと運転時に役立つ「超便利」機能だった!
「みやざき春旅クーポンキャンペーン」3月28日開始 3千円分の宮崎旅行支援
美的グループの2023年収益が3,737億元、収益・利益の新記録
「LINEマンガ」で爆発的な人気を誇る『先輩はおとこのこ』アクリルキーホルダー全5種を全国のガチャガチャで3月28日に発売
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
「けつぷりぷりやないかい」グラビアアイドル麻倉瑞季、レオタードでキュートなヒップライン披露
EIG傘下のミッドオーシャン・エネルギー、オーストラリアの統合LNGプロジェクトのポートフォリオにおける東京ガス保有の権益を取得
TWICE・ミナ、FENDIのドレスで最強美デコルテ・美脚を魅せつけファンの視線を魅了
【市場反応】米3月カンザスシティ連銀製造業活動は予想外に悪化、ドル上値重い
【一覧】ロッテの開幕1軍メンバーと過去10年の開幕戦結果
北海道の1か月予報 空気カラカラに 週末は黄砂に注意 気温が高く桜の開花を後押し