タレスは9月27日、「2022年 タレス クラウド セキュリティ調査」の結果を公表した。同調査にはアメリカやヨーロッパなどを含む世界17カ国から、約2,800人のセキュリティの専門家とエグゼクティブリーダーが回答した。

調査結果の公表に合わせて、日本法人であるタレス DIS ジャパンのクラウドプロテクション&ライセンシング データプロテクション事業本部長を務める藤岡健氏が、記者説明会でAPAC(アジア太平洋)地域に注目した結果について解説した。なお、APAC地域の回答者は876人で、うち日本の回答者は203人だ。

  • タレス DIS ジャパン クラウドプロテクション&ライセンシング データプロテクション事業本部 本部長 藤岡健氏

    タレス DIS ジャパン クラウドプロテクション&ライセンシング データプロテクション事業本部 本部長 藤岡健氏

クラウドの利用はグローバルで加速している

調査の結果、APAC地域ではマルチクラウドの導入が本格化していることがうかがえるという。回答者のうち約6割の人は複数のクラウドプロバイダーを使用していると回答したようだ。

既存のアプリケーションからPaaS(Platform as a Service)をはじめとするクラウドへの移行に際しては、再購入して移行する企業は33%(日本:37%)と、最も一般的な選択肢となっている。

リフト&シフト(移行と最適化)を行った企業は22%(日本:22%)であり、アプリケーションの再構築またはリファクタリングを実施した企業は16%(日本:11%)だ。リフト&シフトと再構築を組み合わせた企業は23%(日本:23%)だという。

  • クラウド移行にあたってはアプリケーションを再購入した企業が多いようだ 資料:タレス

    クラウド移行にあたってはアプリケーションを再購入した企業が多いようだ 資料:タレス

マルチクラウドの多様化は、運用とセキュリティを複雑にしている大きな要因でもある。APAC地域の49%(日本:52%)の回答者が、オンプレミスよりもクラウドでプライバシーとデータ保護の規制を管理する方が複雑であると回答している。

一方で、機密データの61%以上をクラウド以外に保存していると回答したのは、わずか20%(日本:17%)だ。この結果は、裏を返すと、およそ8割の企業が機密データの61%以上をクラウド上に保存していることを示している。

クラウドの利用が一般的になるにつれて、企業内の機密データは自社管理のサーバではなくクラウド上で保管されている実態が見て取れる。

  • 多くの機密データがクラウド上で管理され始めているようだ 資料:タレス

    多くの機密データがクラウド上で管理され始めているようだ 資料:タレス

クラウド利用の拡大に伴ってデータ侵害も増加している

このようにクラウドの利用が一般的となる中で、過去にデータの侵害や監査の失敗を経験したことがあると回答した企業はAPAC地域の43%(日本:39%)にも上る。日本のみに着目すると、2021年には29%であり、10%もの増加が見られる。

藤岡氏はその背景について、「クラウド利用の増加だけでなく、監査条件の強化や侵害の増加など、複数の条件が複合的に起因しているのだろう」とコメントした。

  • データ侵害や監査の失敗を経験した企業が増えているという 資料:タレス

    データ侵害や監査の失敗を経験した企業が増えているという 資料:タレス

また、今回の調査結果により、クラウドのセキュリティポリシーや、技術の標準化と適用方法に大きな動きが見られたとのことだ。

APAC地域の47%(日本:53%)の企業が、クラウドのポリシーはセキュリティチームが一元的に定義し、技術標準の定義と適用はクラウドデリバリーチームに委ねていると回答した。この結果は2021年と比較して5%程度増加しているのだという。

38%(日本:37%)の企業は、クラウドセキュリティポリシー、標準、適用はセキュリティチームが一元的に管理していると回答。これら3つがそれぞれクラウドデリバリーチームに委ねられているとする回答は15%(日本:10%)だ。

  • セキュリティポリシーを一元管理する向きに移行しているようだ 資料:タレス

    セキュリティポリシーを一元管理する向きに移行しているようだ 資料:タレス

クラウド上におけるデータの暗号化は、機密データをサイバー攻撃から保護するために必須の技術ともいえる。回答者の多くは、保存データの暗号化、トークン化およびデータマスキング、転送中データの暗号化、鍵管理、ハードウェアセキュリティモジュールを上位の手法として挙げているとのこと。

38%(日本:37%)の企業が、暗号化またはトークン化されたデータの盗難や漏えいについて例外を認める「セーフハーバー」条項により、必要なデータ侵害通知を回避したと報告している。

しかし、クラウド内の機密データの61%以上が暗号化されていると回答した企業は、わずか21%(日本:16%)にとどまっている。

  • クラウド内のデータを暗号化している企業はまだ少ないようだ 資料:タレス

    クラウド内のデータを暗号化している企業はまだ少ないようだ 資料:タレス

セキュリティ管理の複雑化も課題に

暗号鍵管理のためにクラウドコンソールを利用している企業は、2021年では47%(日本:46%)であったのに対し、2022年には54%(日本:56%)にまで増加した。こうした結果から、鍵管理ソリューションを一元化されたプラットフォームに統合する動きが見られる。

1または2つの鍵管理ソリューションを利用している企業はわずか12%(日本:14%)であり、3または4つの鍵管理ソリューションを利用している企業は33%(日本:26%)だ。5つ以上のソリューションを利用している企業は55%(日本:61%)にも上り、鍵管理のためのソリューションが無秩序に拡散している現状が浮き彫りとなった。

  • 複数の鍵管理ソリューションを併用している企業が多数だ 資料:タレス

    複数の鍵管理ソリューションを併用している企業が多数だ 資料:タレス

ゼロトラストセキュリティへの期待も増加

ゼロトラスト戦略について調査したところ、80%(日本:81%)の企業が何らかのゼロトラスト戦略を検討中、評価中、または実行中との結果が明らかになった。反対に、20%(日本:19%)の企業はゼロトラスト計画に未着手だ。

クラウドアクセスに対するゼロトラストの採用も拡大しているようで、62%(日本:68%)の回答者がクラウドアクセスにゼロトラストの原則と手法を活用したいと考えていることが明らかになった。

  • クラウドアクセスへのゼロトラストの活用も進んでいるという 資料:タレス

    クラウドアクセスへのゼロトラストの活用も進んでいるという 資料:タレス

  • 「2022年 タレス クラウド セキュリティ調査」の結果まとめ 資料:タレス

    「2022年 タレス クラウド セキュリティ調査」の結果まとめ 資料:タレス