X

A blog about Oracle Japan News Portal

日本オラクルとKPMGコンサルティング、クラウド・セキュリティに関する意識調査を公開

KPMGコンサルティング株式会社と日本オラクル株式会社は本日、オラクル・コーポレーションとKPMGが共同で公開したクラウド・セキュリティに関する意識調査レポート「Oracle and KPMG Cloud Threat Report 2020」を発表しました。発表資料はこちら。日本語版のサマリーレポートはこちら

「Oracle and KPMG Cloud Threat Report 2020」は、日本、米国、カナダ、英国、フランス、オーストラリア、シンガポールの7カ国のサイバー・セキュリティおよびITの担当者750人を対象にクラウド利用におけるセキュリティの現状について調査したものです。本調査によると、日本を含む全世界でクラウドの利用が広がっており、より安全にクラウドを利用するためにデータ・セキュリティ対策が重視されていることが明らかになりました。また、企業はこれまでも様々なセキュリティ対策をとっていたもののその場しのぎのパッチワーク的アプローチであったため、クラウド利用を前提としたセキュリティ対策が求められていることがわかりました。リモートワーク環境に必要なクラウド・セキュリティ対策の適用状況を見ると、日本企業はネットワークベースのセキュリティに偏っていることが判明しました。

クラウドの利用は広まっているが、クラウドに対する理解は深まっていない

全世界で非常に多くの企業がパブリック・クラウドを利用していますが、クラウド・サービス・プロバイダーとのセキュリティに関する責任分解点については十分に理解していないことが明らかになりました。さらに、日本においては、クラウドへのデータ移行およびクラウド・セキュリティへの理解がグローバルより遅れていることがわかりました。

  • グローバルおよび日本において、90パーセント近い企業がSaaS(software-as-a-service)、80パーセント近い企業が IaaS(infrastructure-as-a-service)を利用しています。さらに、グローバルにおいては49パーセントの企業は、今後2年間で、半分以上のデータをクラウドに移行する予定と回答しています。一方、日本において、22パーセントの企業のみが半分以上のデータをクラウドに移行する予定となっています。
  • グローバルではIT担当者の75パーセントが、自社データセンターよりもパブリック・クラウドのほうがセキュアであると考えており、この割合は年々増加しています。一方、日本においては、56パーセントの企業にとどまっています。そのうち、自社データセンターよりもパブリック・クラウドのほうが十分にセキュアと考える企業は、グローバルと比較しても半数以下となっています。
  • グローバルにおいて責任共有モデルについて完全に理解していると回答したITセキュリティ担当役員は8パーセントにとどまっています。日本においては、完全に理解していると回答したITセキュリティ担当役員はいませんでした。
  • グローバルでは、92パーセントの企業はパブリック・クラウドを安全に利用するための準備が十分に整っていないと考えています。日本においても同様の傾向であり、86パーセントの企業はクラウドを安全に利用するための準備が整っていないと考えています。

クラウドのセキュリティ対策において、データ・セキュリティ対策が重視されている

パブリック・クラウドの利用が広がっている一方で、クラウド・サービスを安全に利用するための準備が整っておらず、全世界でクラウド上のデータに関するセキュリティ対策が重視されていることがわかりました。

  • グローバルのIT担当者の79パーセントは、他の企業でデータ侵害が発生した場合には、自社でもデータ保護に対する関心が高まったと回答しています。日本企業でも、85パーセントのIT担当者が同様の回答をしています。
  • グローバルのIT担当者が多くの時間を割いている業務の上位3つは、サイバー・セキュリティ、データ保護、データ・セキュリティ・ガバナンスであることがわかりました。日本のIT担当者も同様の業務に多くの時間を割いている、と回答しています。

場当たり的に対応してきたこれまでのセキュリティ・アプローチ

セキュリティに対する取り組みとして、企業はこれまでパッチワークのように数多くの異なるサイバー・セキュリティ製品を組み合わせて利用してきました。その結果、サイバー・セキュリティ製品の設定が誤っているケースもあり、セキュリティ対策において苦戦を強いられています。

  • グローバルの78パーセントの企業は、セキュリティに対応するために51種類以上のサイバー・セキュリティ製品を利用しており、そのうち約半数の企業が101種類以上のサイバー・セキュリティ製品を利用しています。日本においても82パーセントの企業が51種類以上、32パーセントが101種類以上を利用しており、グローバルとほぼ同様の傾向となっています。
  • グローバルでは、41パーセントの企業がクラウド・セキュリティにおける最大の課題として、クラウドの設定を挙げています。日本においても、51パーセントと高い割合で企業はクラウドの設定を課題としてあげています。
  • グローバルの51パーセントの企業は、クラウド・サービスの設定ミスが発生の結果、データ損失が発生しています。日本においても、42パーセントの企業は、設定ミスの結果データ損失が発生しています。

今こそクラウド利用を前提としたセキュリティ・モデルの構築を

顕在化しているクラウド・セキュリティの課題を解決するには、企業はクラウド利用を前提としたセキュリティ対策に取り組む必要があります。そのためには、技術を有するITセキュリティ担当者の採用に加え、AIの活用、ますます拡大するデジタル世界の脅威に対応するためのプロセスおよびテクノロジーの絶え間ない向上が必要となります。

  • およそ70パーセントの企業は、CISOの対応が後手に回り、サイバーセキュリティ・インシデントが発生して初めてパブリック・クラウド・プロジェクトに関与するようになったと回答しています。このため、グローバルで73パーセント、日本においても62パーセントの企業が、クラウド・セキュリティのスキルを有するCISOを採用した、または採用する予定です。
  • グローバルのIT担当者の88パーセント、日本においては92パーセントが、セキュリティ強化のために、今後3年間でパッチ適用処理の自動化を実現する予定です。
  • グローバルのIT担当者の87パーセント、日本においては95パーセントが、不正、マルウェア、設定ミスなどへの対策を強化するためには、AI/ML機能が今後のセキュリティ対策において「必須」機能であると考えています。

遅れる日本のリモートワーク環境向けセキュリティ対策 
~ リモートワーク環境へのクラウド・セキュリティ対策の適用状況

リモートワークの利用拡大に伴い、これまで検討・実施されていたネットワーク・セキュリティによる境界防御型セキュリティから、内部も信頼できないものという前提に立ち、全てのアクセスを検査するゼロ・トラスト・セキュリティの考え方が重要になります。ゼロ・トラスト・セキュリティでは、「エンドポイント」、「IDアクセス管理」、「アプリケーション」、「データ」といった多層防御の考え方が必要となりますが、日本においては、境界防御に偏っていることがわかりました。特にIDアクセス管理とデータ・セキュリティ対策がグローバルより遅れているため対策が急務となっています。

  • セキュリティ脅威検知において、日本企業はグローバルと比較すると、ネットワーク・セキュリティにより頼った対策となっています。グローバルでは、44パーセントの企業がサイバー・セキュリティ脅威の検知においてネットワークベースの対策を実施しています。一方、日本企業は59パーセントとなっています。
  • 日本企業では、ID アクセス管理とデータ・セキュリティに関する設定ミスが多いことがわかりました。グローバルと日本で発見された事項でギャップが大きいTop3は過剰な権限の付与(日本 45%、グローバル37%)や、セキュリティ・グループの設定誤り(日本 40%、グローバル33%)、機密情報が暗号化されていない(日本 32%、グローバル25%)になっています。
  • 日本企業においては、クラウド上のデータ管理不備により、グローバルより多くのデータ漏洩が発生しています。日本におけるTop3は、データに対する機密区分の設定誤り(日本 51%, グローバル 38%)、機密情報の外部委託先への誤った共有(日本43%, グローバル35%)、データ暗号化漏れ(日本37%、グローバル 30%)が発生していることがわかりました。

Be the first to comment

Comments ( 0 )
Please enter your name.Please provide a valid email address.Please enter a comment.CAPTCHA challenge response provided was incorrect. Please try again.

Recent Content