starthome-logo 無料ゲーム
starthome-logo

マカフィーレポート:クラウド上のデータは予想以上に危険に晒されている

2018年12月5日



マカフィー株式会社



マカフィーレポート:クラウド上のデータは予想以上に危険に晒されている

クラウド上の機密情報、SaaSでのコラボレーション(協働)、

IaaS/PaaSにおける設定ミスが増加するにつれ、クラウド上の脅威も増大



主な調査結果:

・クラウド上の全ファイル中、機密データは21%。年々着実に増加

・オープン且つ、一般からアクセス可能なリンク経由での機密データの共有は前年比で23%増

・パブリッククラウドを使用する企業では、IaaS、PaaSなどのインスタンスで毎月あたり2,200件以上の設定ミスによるインシデントが発生

・クラウドでの脅威インシデント、たとえばアカウント侵害、特権ユーザーなどの内部脅威は前年比で27.7%増



デバイスからクラウドまでを保護するサイバーセキュリティ企業である米国マカフィー(McAfee LLC、本社:米国カリフォルニア州)は、「Cloud Adoption and Risk Report(クラウドの採用とリスクに関するレポート)」を発表しました。本レポートは、クラウドの採用とリスクを明らかにするため、匿名化されたクラウド上の数十億単位のイベントを分析し、その結果をまとめたものです。今回の調査により、クラウド上に格納されている全データのうち21%が機密データに該当し、盗難や漏洩が生じれば企業が危機に直面することが明らかになりました。クラウド上での機密データの共有が対前年比で53%増加していることも相まって、データ保護、システム構成の監査、そしてコラボレーションの制御など、クラウドベースのセキュリティ戦略がない企業は、最も重要な資産、すなわちデータを危険に晒し、また内外の規制違反を引きおこす危険が一層高まります。



この調査では、企業は積極的にパブリッククラウドを利用し、顧客向けの新たなデジタル体験の創造を図る一方で、IaaSやPaaSインスタンスで月平均約2,200件以上もの設定ミスを発生させていることが明らかになりました。クラウドサービス事業者はクラウドそのもののセキュリティについては責任を負いますが、顧客のデータや顧客のインフラ、プラットフォームは事業者側の責任範疇ではありません。自社のデータを護るのは、どこに格納されているにせよ、その企業の責任です。そのためには、SaaSからIaaSやPaaSまでをカバーする、クラウド全般のセキュリティソリューションが必要となります。



米国マカフィーのクラウドセキュリティ事業部 上席バイスプレジデントであるラジブ・グプタ(Rajiv Gupta)は、次のように述べています。「クラウドを利用した業務遂行はもはや標準となり、社員は躊躇なく機密データをクラウドに格納、共有するようになっています。意図しない共有やSaaS上のコラボレーションでのエラー、IaaSやPaaSクラウドサービス上での設定ミスや脅威は増加しています。ビジネスを加速するために、企業はクラウドネイティブでスムーズな方法で自社のデータを保護し、SaaS、IaaSおよびPaaS全般にわたって脅威から護る必要があります。」



クラウド上でのコラボレーションの長所と短所:

クラウドサービスはその優れた拡張性からビジネスを加速して好機をもたらし、迅速なリソースの活用やコラボレーションを可能にします。BoxやOffice 365などのクラウドサービスは、コラボレーションの迅速性と効果を増大するために利用されています。しかし、コラボレーションとは共有することであり、無制御な共有は機密データを危険に晒す可能性があります。

今回の調査では、以下のような実態が明らかになりました。

・外部とファイルを共有するクラウドユーザーは全体の22%、前年比21%増

・機密データをオープンで一般からアクセス可能なリンク経由で共有するケースが前年比で23%増

・機密データの個人メールへの送付は前年比12%増



クラウド上で機密データの安全な保管、ファイル共有、コラボレーションを行うには、企業はまず自社が使用しているクラウドサービスを把握し、どこに機密データが格納されているのか、どのように、そして誰とその機密データを共有しているのかを確認しなければなりません。それらを把握しないと、適切なセキュリティポリシーの強化を図ることはできないのです。実態を把握することで、重要な機密データの未許可のクラウドサービスへの格納を禁じ、許可されたクラウドサービスにおける機密データの不適切な共有、例えば個人的なメールアドレスへの転送やオープンで一般からアクセス可能なリンクを経由した共有などを防止するための、いわば「ガードレール」を設置することが可能になります。



使用しているクラウドサービスの認識と現実:

2018 年 4 月に、マカフィーは「クラウド環境の現状レポートと今後: クラウドの安全性の状況と実用的ガイダンス」というレポートを発行しました。これは 11 か国 1,400 名の IT 専門家に対する、組織のクラウド利用に関する 100 問以上の質問を含む調査をもとにしています。今回のレポートでは、この調査の回答と、今回のマカフィーの分析からわかった現実を比較した内容も収めています。



4月の調査では、自社組織内で使用されているクラウド サービス数を推測するよう尋ねました。平均的な回答は 31で、80 以上あると考えている回答者がわずか 2% 、日本の場合は37という結果でした。一方で、今回の分析でわかった実際企業で使用されているクラウドサービスの平均は 、1,935という結果でした。非常に驚くべき認識のギャップがあることがわかります。つまりIT 部門は 98% のクラウド サービスを認識していないということを意味しています。これは明らかにクラウドのリスクにつながります。



IaaSの設定ミスのリスク:

SaaSではデータ保護、ユーザーIDの管理、データへのアクセス管理は利用者側の責任です。一方、IaaSでは、データ、ID、アクセスに加え、さらにアプリケーション、ネットワーク制御、ホストインフラ等についても、利用者側が責任を負います。これは自社のクラウドインフラに対してより大きな制御を施せる反面、セキュリティーリスクに晒される範囲とそれに対する責任が増大します。アマゾン ウェブ サービス(AWS)などのIaaS型サービスは複数のインフラ プラットフォーム サービスを提供していますが、それぞれに複雑なセキュリティ設定が必要になります。IaaSやPaaS等のセキュリティ問題が増大しているのは、企業が複数のIaaS、PaaSベンダーを利用し、それぞれのベンダーの複数のインスタンスを運用しているからです。

今回の調査では、以下のような実態が明らかになりました。

・IaaS、PaaSの利用ではAWSの割合が94%と最も多いものの、78%はAWSとAzureを併用

・企業のIaaS、PaaSの設定ミス関連のインシデントは一度の運用で平均して14件、その結果、

設定ミスの件数は月ベースで2,200件超

・AWS S3バケットの5.5%は、ワールドリード許可設定がされ、一般公開の状態に



マカフィーでは標準的なセキュリティ対策の一環として、導入したAWS、Azure、Google Cloud Platformや他のIaaS、PaaSの設定に対して常に監査、監視を行い、IaaSやPaaSプラットフォームに格納された情報を保護することを推奨しています。オンプレミス型のデータセンターの代替として、IaaS、PaaSの利用は急速に拡大しています。企業は、SaaSクラウドサービスにおける自社のデータ保護と脅威からの防御、IaaS、PaaSクラウドサービスにおける適切な設定、ワークロードの安全の確保などのセキュリティ対策の責任を果たし、セキュリティ インシデントを未然に防止することが重要です。



アカウント侵害と内部脅威:

クラウド上のデータに対する脅威の大半は、アカウント侵害と内部脅威に起因します。クラウドを利用するエンタープライズ企業では、クラウド上に生成される平均イベント数は月間32億件を超え、その内異常イベントが3,217件、実質的な脅威イベントは31.3件となっています。アカウント侵害と内部脅威について、今回の調査結果では、以下のような実態も明らかになりました。

・アカウント侵害、特権ユーザーまたは内部脅威などのクラウド上の脅威は、前年比で27.7%増

・調査対象の全組織の内80%は、少なくとも1件/月のアカウント侵害が発生

・調査対象の全組織の内92%ではクラウド認証情報が盗まれ、ダーク・ウェブ上で販売されている

・Office365での脅威は、前年比で63%増



アカウント侵害や内部脅威に備えるためには、企業はクラウドサービスがどのように利用されているかを把握する必要があります。また、同じユーザーが同時に複数の異なった場所からアクセスするなど、アカウントの不正利用の恐れがある異常なイベントの特定も必要です。



以上のような実態を改善するためにクラウド上のデータ保護に向けてまず取り組むべきことは、CASB(Cloud Access Security Brokers)(英語)の導入です。CASBはクラウドネイティブのセキュリティサービスで、クラウドサービスのセキュリティ、コンプライアンス、そしてガバナンスポリシーを強化します。CASBは既存のセキュリティ対策を活用し、新たなクラウドネイティブなセキュリティと組み合わせることで、SaaS、IaaS、およびPaaS全般にわたって企業のデータの保護と脅威からの防御を可能にします。



参考資料:

・McAfee MVISION Cloud

https://www.mcafee.com/enterprise/ja-jp/products/mvision-cloud.html

・クラウド環境の現状レポートと今後: クラウドの安全性の状況と実用的ガイダンス

https://www.mcafee.com/enterprise/ja-jp/solutions/lp/cloud-security-report.html

・2016 Office365 Adoption &Risk Report(英語)

https://info.skyhighnetworks.com/WPOffice365CARRQ22016_BannerCloud-MFE.html



調査方法:

当社では、McAfee MVISION Cloud ユーザーのクラウドサービス利用状況を25,000以上のクラウドサービスで用いられるデジタルシグネチャを分析し、追跡しています。今回の「Cloud Adoption and Risk Report(クラウドの採用とリスクに関するレポート)」の作成にあたり、そのうち3,000万人超相当の利用状況に関する匿名化されたデータを分析・集計しました。また、調査を補足する関連データとして、パブリックまたはプライベートクラウドサービスのユーザーである11ヵ国のセキュリティ専門家1,400人を対象とした調査(2018年)も引用しています。



■マカフィーについて

マカフィーはデバイスからクラウドまでを保護するサイバーセキュリティ企業です。業界、製品、組織、そして個人の垣根を越えて共に力を合わせることで実現するより安全な世界を目指し、マカフィーは企業、そして個人向けのセキュリティ ソリューションを提供しています。詳細は http://www.mcafee.com/jp/ をご覧ください。



*McAfee、McAfeeのロゴは、米国およびその他の国におけるMcAfee, LLCの商標です。

*その他の製品名やブランドは、該当各社の商標です。



    アクセスランキング

    1. 米米CLUB元メンバー死去 石井竜也「眉間に皺なんて見たことないくらい、いつもニコニコ…」

    2. フジ「ぽかぽか」で不適切発言が頻発、9月の高畑淳子に続き青学大・原晋監督も 局アナ謝罪対応

    3. 大谷翔平、5000万円相当の野球カード所有権返還を申し立て 元通訳の水原一平被告が無断購入

    4. 倖田來未が実名告白「エロかっこいい路線」に進ませた憧れの歌手「同じことしててもあかんなと」

    5. 壇蜜「収入減ったなぁ」支えは夫とペットたち「ヘビ、キンカジュー、ナマズ、インコ、トカゲ…」

    6. 22歳の大谷翔平、合コン出席も女子アナとの食事も否定、行ったことがあるのは…

    7. ドリカム吉田美和の20歳下夫、突如番組のカラオケ企画に登場し騒然!「一緒に朝ご飯を食べた」

    8. 猪口邦子参院議員宅の火災 2人死亡 夫・孝さんと長女か

    9. 「くだらねえな」堀江貴文氏、斎藤知事巡る疑惑報じるマスコミに怒り「視聴率稼ぎの姑息な手段」

    10. 辻希美17歳長女希空、インスタでも顔出し「沢山のフォローありがとう」感謝つづる

    1. クロちゃんを騙した「レイちゃま(小林レイミ)」の現在が別人すぎると話題に

    2. ガーシーが綾野剛のLINE公開でネット騒然「ショック」「すごいエンタメ」

    3. 二階堂ふみが結婚!?お相手が衝撃的過ぎてネット民「マジか・・・」

    4. 多部未華子(30)結婚の裏事情あまりにも恐ろしすぎると話題に!

    5. “飛び降り配信”女子高生と交際のYouTuberピャスカルが大炎上「擁護できない」

    6. 前澤友作氏「全ての方向で法的措置を検討します」と警告

    7. 米米CLUB元メンバー死去 石井竜也「眉間に皺なんて見たことないくらい、いつもニコニコ…」

    8. 千鳥ノブ、突然の背中激痛で動けなくなり病院直行「診断名」明かす「3日ぐらい動けなかった」

    9. 「グラビア界の超新星」榎原依那がスケスケ悩殺Tシャツ姿公開「たまらん」「エロス」「血圧が」

    10. 元SPEED、新垣仁絵(40)の現在が衝撃的すぎると話題に

    Tips

    1. Windows10サポート終了間近!PC買い替えのベストタイミングと選び方

    2. VLOOKUP関数の次はこれ!MATCH関数とINDIRECT関数を活用した2つの条件で検索する方法

    3. 初心者でも安心!VLOOKUP関数の簡単使い方ガイド

    4. AI PCとは? 仕組み、メリット、そして活用方法

    5. Officeが入っていないPCでOfficeを使う方法を解説!

    game_banner
    おすすめ

    1. 壇蜜「収入減ったなぁ」支えは夫とペットたち「ヘビ、キンカジュー、ナマズ、インコ、トカゲ…」

    2. 51歳モデル「学生の時に4年付き合った」初の彼氏と別れた理由「そこから地獄のような恋愛が」

    3. 松本幸四郎「うちの娘が生まれ…17年たって一番進化」尾上松也と歌舞伎NEXTダブル主演舞台

    4. 松村沙友理、あざとキャラは「プライベート何もしない」「キャラじゃないんですよ~」

    5. 【阪神タイガースWomen】新入団9選手を発表!今夏の女子野球W杯MVP白石美優らが入団

    6. ドジャース名物リポーター、イギリス南西部の豊かな大自然でリラックス オフはモデルでも大活躍

    7. 鈴木愛理“元メンバー”からの言葉にモヤモヤ「分かってるんだけどな~」

    8. 【山椒×レモネードのお酒とか絶対美味しい!】粕を米と一緒に発酵させた新しい酒!?シリーズ第1弾!kasu [sansho lemonade]が発売

    9. 気づいたら更年期不調に300万もかけていた  キャリア女性の赤裸々体験を描いた 新刊「この不調、ぜんぶ 更年期のせいだったの!?」発売

    10. 菊池雄星の4歳長男レオ君、東京ディズニーランドで大はしゃぎ 元フリーアナ妻がインスタへ投稿

    Starthome

    StartHomeカテゴリー

    Copyright 2024
    ©KINGSOFT JAPAN INC. ALL RIGHTS RESERVED.