攻撃者の標的はクラウドリソースに集中、人為的ミスがセキュリティインシデントの主な要因──タレス調査

　タレス（Thales）は、2025年度版「クラウドセキュリティ調査」を発表した。

　同調査は、S&P Global Market Intelligence 451 Researchによって実施されたもので、2025年度の調査では、20ヵ国・約3,200人の多様な職位の回答者からクラウドセキュリティに関する課題について見解を集めたとしている。

クラウドは依然としてセキュリティ上の最重要課題

　クラウドは現代企業のインフラ基盤に欠かせない存在となっているという。一方、多くの組織は依然として、クラウドを効果的に保護するために必要なスキルや戦略の構築段階にあるとのことだ。クラウドプロバイダーごとに制御方式が異なるうえに、クラウド特有のセキュリティ概念への理解も必要であるため、セキュリティチームにとってクラウド環境の保護が大きな課題になっているという。加えて、AI導入が進むことで、より多くの機密データがクラウドに移行しており、柔軟かつ強固な保護の必要性が一層高まっているとしている。

　2025年のタレスのクラウドセキュリティ調査では、クラウドセキュリティが依然として世界中の企業にとって最も重大な懸念事項であることが明らかになったという。回答者の約3分の2（世界：64％、日本：63％）が、クラウドセキュリティをセキュリティ施策の中で優先順位5位以内に挙げており、17％は最優先事項として捉えているとのことだ。2025年に新たに投資の優先事項として加わったAIセキュリティは、全体で2位にランクインし、その重要性の高まりを示しているという。クラウドセキュリティは、持続的な投資が行われているにもかかわらず、依然として複雑かつ継続的な課題となっており、技術面にとどまらず、人材、運用、そして進化する脅威の状況など多岐にわたる要素が課題になっていると同社は述べる。

　組織が活用するクラウドプロバイダーの平均数は2.1社（日本：2.2社）に増加し、多くの組織ではオンプレミス環境も併用しているという。また、こうした複雑さの増大によりセキュリティ課題も拡大。回答者の55％（日本：55％）がクラウドはオンプレミス環境よりもセキュリティの確保が困難と回答しており、前年より4％上昇（日本：前年より9％上昇）しているという。加えて、組織の成長や合併・買収による拡大にともないSaaSの利用が急増。現在、1社あたりの平均利用アプリ数は85（日本：84）となっており、アクセス制御やデータの可視化が一層複雑化しているとのことだ。

　この複雑さはセキュリティ運用にも及んでおり、多くのチームが異なるプラットフォーム間でポリシーの整合性を得るのに苦慮しているという。61％の組織がデータの発見、監視、または分類のために5つ以上のツールを使用しており、57％の組織（日本：56％）が5つ以上の暗号鍵管理ツールを利用しているとした。

攻撃の標的はクラウドリソースに集中、人為的ミスが依然として主要な脆弱性

　複雑化する環境において組織がデータセキュリティの確保に苦戦する中、クラウドインフラは攻撃者にとって主要な標的となっているという。同調査によると、報告された攻撃で標的となった資産の上位5つのうち4つがクラウド上のものだったとしている。また、回答者の68％（日本：83％）がアクセス権を狙った攻撃の増加を報告しており、認証情報の窃取や不十分なアクセス制御に対する懸念が高まっているという。

　加えて、85％の組織がクラウド上に保有するデータのうち少なくとも40％が機密情報であると認識している一方で、多要素認証（MFA）を実装しているのはわずか66％にとどまり、依然として多くの重要なデータが漏えいのリスクにさらされているとのことだ。設定ミスや認証情報の管理不備といった人為的ミスが、引き続きクラウド環境でのセキュリティインシデントの主な要因となっていると同社は述べている。

【関連記事】
・Oktaとパロアルトが製品統合、セキュアブラウザのみを使用したSSOアプリへのアクセス制限が可能に
・AIを操作し検知を回避する新マルウェア「AI回避」確認、今後はより技術が発展する見込み──CPR発表
・AIイノベーションの急速な進行によって、企業のAI成熟度が全体的に低下──ServiceNow調査