タレスは11月25日、クラウドセキュリティに関するグローバル調査である「2021年タレスクラウドセキュリティグローバル調査」の結果を発表した。同調査には日本の201人を含む世界の2600人の経営幹部や現場担当者が回答している。

調査結果の公表に合わせて、タレス・グループにおいてクラウドプロテクション&ライセンシング データプロテクション事業本部の本部長を務める中村久春氏が、APAC(アジア太平洋)地域に注目した結果を解説した。なお、2600人のうち750人がAPACの回答者に相当する。

  • タレスグループ タレスDIS CPLジャパン クラウドプロテクション&ライセンシング データプロテクション事業本部 本部長 中村久春氏

調査の結果から、APACの59%および日本の57%が2社以上のIaaSプロバイダーを使用していると回答したことがわかった。また、日本の回答者の39%がオンプレミスよりもクラウド環境の方がデータ保護の管理が困難だと考えているほか、68%がオンプレミスとクラウドの組み合わせを保護することは「難しい」または「非常に難しい」と考えていることが明らかとなり、マルチクラウドの導入拡大に伴ってデータ管理の複雑さが増していることがうかがえる。

  • 国内の約7割の回答者がオンプレミスとクラウドの組み合わせを保護することが難しいと感じている 資料:タレス

中村氏は「クラウドサービスの普及に伴って、関与するチームが横断的になっている」と述べた。APACの78%および日本の77%の組織ではクラウドのセキュリティ対策の決定に企業のセキュリティチームが関わるケースがあるのだという。また、APACの42%および日本の37%の組織ではセキュリティチームとクラウドに精通したチームが共同でセキュリティに取り組んでいるようだ。クラウドの導入に伴う運用管理の複雑さは、関与するチームが横断的になっている点も背景にあるようだ。

  • 国内の約4割に近い組織がクラウドセキュリティをセキュリティチームとクラウド提供チームが共同で運用している 資料:タレス

中村氏は続けて、MFA(Multi-Factor Authentication:多要素認証)の導入率の低さを指摘した。MFAを使用してクラウドサービスの半分以上を保護している組織はAPACでは14%、日本では17%にとどまる。オンプレミスのアプリケーションについても、APACで11%、日本で10%にとどまっている。

本年5月に、アメリカの石油パイプライン管理会社がランサムウェア攻撃を受けた問題をきっかけにして、バイデン政権は政府機関システムおよびそのベンダーに対しデータの暗号化とMFAの導入を指示している。「クラウド上のデータの保護とデータへのアクセスのコントロールは、両輪となって機能することが重要」と同氏は補足した。

  • MFAを採用してクラウド上のデータを保護している組織はわずかだ 資料:タレス

APACおよび日本でも暗号化の重要性は認知が高まっているようで、クラウド内の機密データを保護するために講じている対策として、APACの67%と日本の70%が暗号化を挙げている。暗号化の次の段階として、暗号化した鍵をどのように保管するのかを議論する必要があるとのことだ。

  • 日本の70%の組織はクラウド内のデータ保護のために暗号化を採用している 資料:タレス

日本はAPAC諸国と比較して、クラウド環境を保護するための先端テクノロジーとしてクラウドセキュリティポスチャ管理やクラウドワークロード保護プラットフォームなどの監視システムへの投資が高い点が特徴的だ。一方で、暗号化やMFAへの投資が低い点が調査結果から浮き彫りとなった。

  • 日本はAPACと比較して、クラウド監視システムへ投資する傾向が高いようだ 資料:タレス

日本の組織のうち、クラウド内のデータの50%異常が機密データであると回答した組織はわずか18%だ。クラウド環境の導入が進む一方で、重要なデータに関してはオンプレミスに残している企業も多いようだ。また、APACの61%および日本の60%の組織が、クラウド内のデータを暗号化する際にすべてまたはほとんどの暗号鍵の制御をクラウドプロバイダーに依存している。

今後ハイブリッドクラウドやマルチクラウドの導入が進むと仮定すると、鍵を自身で管理したり、複数のクラウドサービスを一元管理したりするようなサービスの需要も高まると考えられる。

  • クラウド内に機密データを保存している組織は少ないようだ 資料:タレス