Avatar of AvePoint

クラウド セキュリティ リスクの 「虚像」 と 「現実」: 「思い込み」 に基づいたセキュリティ戦略に陥らないために

By: AvePoint
共有:

clou

【クラウド セキュリティ リスク、「何となく」 理解した 「つもり」 になっていませんか?】

クラウドへの移行を見送る理由のひとつとして最も頻繁に挙げられるのが 「セキュリティ リスク」 です。これまでオンプレミス環境で自社データを全て管理してきた企業・組織は、自社ですべてのデータを管理しているという安心から脱することに強い抵抗感を感じる傾向があるようです。

また、IT 部門とセキュリティ部門がサーバーや更新状況、すべてのデバイスのモニターとコントロールを実行できるのは、経営陣にとって心強いことのようです。しかし、この認識はどこまで現実に即したものなのでしょうか?

「クラウド」 という言葉は比較的耳新しく響くかもしれませんが、サービスやテクノロジーの外注/アウトソーシングは、決してここ数年に始まったトレンドではありません。サード パーティ環境にホストされたサービスの提供は、「クラウド」 という言葉が定着する前から存在するビジネス モデルです。

しかしながら、例えばMicrosoft Office 365 のようなパブリック クラウド サービスに全てのデータを移行することには、強い不安・抵抗を示す経営層も少なくないのが現状です。

2015 年に実施されたある調査では、「不正アクセス」「アカウントの乗っ取り」「悪意ある社内のユーザー」 が、クラウド サービス利用の際の最大の懸念点として挙げられていました。

leak興味深いことに、最も頻繁に発生するセキュリティ インシデントであるマルウェアや DoS 攻撃などは、懸念点としてあまり挙げられることはないようです。

【クラウドの 「真の」 セキュリティ リスクと懸念点】

オンプレミス アプリケーションよりも、パブリック クラウド サービスでセキュリティ/データ関連インシデントを経験する企業・組織が多いことを考えると、上記のような懸念はあながち根拠のない話ではないのかもしれません。

しかし、表面上だけの数字を離れて少し詳しく分析してみると、興味深い事実が見えてきます。クラウド 環境で起こるデータ流出は、サービスそのものに対する総当たり攻撃ではなく、エンド ユーザーとエンド ユーザー アカウントに対して起こる攻撃が着火点となることが多い、という事実です。

これに対し、オンプレミスで起こった流出事故は、アカウントに対する攻撃とコア インフラストラクチャに対する攻撃の混成となっていました (後者がより高率)。

さらに、セキュリティ/データ流出インシデントが起きた際にどの程度のダメージが発生するかは、セキュリティ/IT チームがどのようにインシデントに対処するかに最も大きく影響されるということも、調査の結果から明らかになっています。

graph

Solliance のシニア クラウド アーキテクトであり、Microsoft MVP でもある Chris Givens 氏は、「Office 365 をセキュアに使うことは十分可能ですが、何の構成もせずに使う場合はこの限りではなく、一定の工夫や準備が必要です。顧客は自社に合ったセキュリティ対策をする必要があります」 と語っています。自社にはどのようなサービスとツールが必要なのか理解していなければ、権限などの適切な構成を実行するのが難しいためでもあります。

そして、このような 「自社のニーズに応じた構成」 を実施している企業・組織の数は、AvePoint の前述の調査でも、あまり多くないのが現状であるという結果が出ています。さらに、最適なサービスを導入するために必要なライセンスを持っていないことも少なくないようです。

Office 365 環境の総合的なセキュリティ ソリューションを手に入れるためには、Microsoft Enterprise Mobility Suite が必要となります。しかし、導入によってまた新たな製品知識や、理解しなくてはならない項目が増えるのも事実です。

「Office 365 はコンテンツの共有ができるコラボレーション環境ですが、サイバーセキュリティの面からは、『共有』 は避けるべきものとも考えられます」 と、JourneyTeam の Eric Raff 氏 (クラウドソリューション アーキテクト) は発言しています。「共有は Office 365 の最大のセキュリティ リスクであるため、共有を受けるべきユーザーだけに共有が実行される環境づくりが必須となります。」

stats

「不安はある」 けど 「戦略は適切」? 認識不足が招くクラウド セキュリティへの誤解

AvePoint が CollabTalk と共同実施した調査によると、多くの回答者が 「Microsoft のクラウドセキュリティに不安を感じている」 と回答する一方で、Microsoft の全体的なセキュリティ戦略を把握しており、かつそれらの戦略は適切なものであるとも回答しています。screen

例えば、Microsoft では Office 365 と Microsoft Azure の両方に専門のレッドチームとブルーチームが置かれていることを知っている回答者は、Microsoft はセキュリティに対して真剣に取り組んでいると回答する傾向にありました。

Microsoft のクラウド サービスに対する不安感と、Microsoft の実際のクラウド セキュリティ プログラムへの信頼の間に位置するギャップは、
「クラウドに対する不安感は、単なる漠然とした不安や理解不足に基づいたものであり、Microsoft の実際のクラウド セキュリティに欠陥があるためではない」
との可能性を示しています。

【セキュリティへの必要な出費を惜しみ、より高いリスクを招く企業】

また、リスクと懸念を払拭してくれるサービスやライセンスに対する投資・出費、特に攻撃の最大の弱点となりうるエンド ユーザー アカウントに対するリスク抑制への出費には、多くの回答者が難色を示していました。

Venable LLP のマネージング ディレクターである Jeremy Grant 氏は、合衆国議会での公聴会において、「2017 年の世界において、『強力な』 パスワードなどというものは存在しません。そんなものが存在する振りをするのは止めるべきです」とまで発言しています。comment

加えて、数多くの組織・企業が、適切なクラウド セキュリティ インフラストラクチャ構築には社内セキュリティ関連人員が不足していると回答しています。

また、調査の結果からは、トレーニングの不足と IT セキュリティ予算の不足が、多くの組織にとっては重大な問題となっていることも浮き彫りになっています。

Microsoft のソリューションには、パスワードよりもっと強力なセキュリティ ツール (多要素認証など) も含まれています。

しかし利用にはより高位のライセンスや追加料金がかかることもあるため、セキュリティの重要さを理解できていない企業・組織は利用しようとせず、結果として自社環境を危険にさらすことになるリスクを引き起こしてしまっています。

セキュリティ インシデントは、ほんの小さな部分の隙があれば見る見るうちに拡大し、必要なソリューションを購入しなかったために節約した金額をあっという間に上回る損害をもたらします。

さらに社会的信頼の失墜、ブランドへのダメージ、監査、裁判などによって生じるコストを勘案すれば、セキュリティ サービスの導入は 「余裕があればやること」 ではなく 「必須事項」 と捉えることが必要であるといえます。

共有: