機密データの第三者との共有で十分に考慮している企業は日本31％、ドイツ61％――ジェムアルト国際調査

クラウドセキュリティの導入には各国で格差

　クラウドに保存されている機密データの第三者との共有に関して、日本（31％）、ブラジル（34％）、イギリス（35％）では、ドイツ（61％）に比べ十分に考慮している企業が少ないことがわかった。この結果は、ジェムアルトがPonemon Instituteに委託した調査「2018 Global Cloud Data Security Study」によるもの。この調査は、クラウドサービスにおけるデータ保護とセキュリティ対策の動向把握を目的に、日本を含む世界8か国でITおよびITセキュリティの実務担当者3,200名を対象に実施された。

　クラウドセキュリティで首位のドイツは、暗号化やトークン化処理など、データ保護対策でも首位だった。ドイツ企業の61%は、クラウド環境に保存されている機密情報を保護しており、米国（51％）および日本（50％）が続いている。クラウドとのデータ送受信時に保護対策を適用している企業の比率は、ドイツでは67％まで高まり、日本（62％）とインド（61％）が続く。

　また、調査対象企業の77％は、暗号化ソリューションの必要性を認識している。さらに、91％は必要性が今後2年でさらに高まると考えている。

88％がGDPRによりプライバシー保護とコンプライアンス管理の強化が必要と認識

　クラウドコンピューティングがますます普及し、メリットも明確化しているにもかかわらず、多くの企業はまだクラウドを警戒している。回答者の半数は、クラウドに保存されている会計データ（54％）と顧客データ（49％）が危険にさらされていると認識している。また半数以上（57％）は、クラウドを使用することで、プライバシーおよびデータ保護に関する法的規制に抵触する可能性が高くなると認識している。なおこの比率は、2016年の62％から5ポイント減少した。

　クラウド上でのデータ保護へのこうした不安を反映し、回答者の大多数（88％）が、欧州で2018年5月に施行されるGeneral Data Protection Regulation（GDPR）により、クラウドでのプライバシー保護とコンプライアンス管理の強化が必要になると認識しており、37％は大幅な強化が求められると認識している。規制への対応自体が難しいだけでなく、回答者の75％は、オンプレミス環境よりもクラウド環境の方が複雑な対応になると認識している。国別では、フランス（97％）、米国（87％）、インド（83％）が高くなっている。

半数以上の企業はすべてのクラウドサービスを完全に把握できていないと回答

　また、クラウドの普及に伴い、IT部門が自社で利用しているクラウドサービスを把握しきれていない企業が多いことが分かった。自社が利用しているクラウドサービスをすべて把握できているという回答はわずか4分の1（25％）で、31％はおそらく把握できている、また41％は把握できてないと答えている。

　この結果は、シャドーITが原因となっているものと考えられる。オーストラリア（61％）、ブラジル（59％）、英国（56％）では、企業の半数以上は自社で使用しているすべてのクラウドサービスを完全には把握できていないと答えている。この比率は日本（27％）、ドイツ（27％）、フランス（25％）では低い結果となった。 　

一方で、回答者の81％は、クラウドのデータおよびアプリケーションにアクセスするための認証の強化が必要かつ重要だと認識している。最も関心が高いのはオーストラリアで、92％が必要性を認めており、インド（85％）、日本（84％）が続く。 　ジェムアルトのデータプロテクション事業部門CTOのJason Hart氏は次のように述べている。「ドイツなど一部の国では大きな問題はありませんが、多くの国について不安を感じます。クラウドのほうがオンプレミスよりデータ保護が難しくなるという先入観を払拭する必要があります」。

　「クラウドのメリットは、特にセキュリティに関して、自社単独では導入が困難なサービスが利用可能になることや、拡張性、コスト削減にあります。ただし、クラウドを採用すればデータが自動的に保護されると思い込むのは間違いです。先日のAccentureとUberのデータ漏えい事件を見れば、クラウドのデータも潜在的に危険にさらされていることは明らかです。データは、どこに保存されていても、暗号化やトークン化処理などの適切な管理をする必要があります。こうした対策を適切に実施すれば、コンプライアンスの問題は解決されるはずです」。

　この調査は、ジェムアルトが委託してPonemon Instituteにより実施され、米国（575名）、英国（405名）、オーストラリア（244名）、ドイツ（492名）、フランス（293名）、日本（424名）、インド（497名）、ブラジル（355名）のITおよびITセキュリティ実務担当者3,285人を対象に行われた。