このレポートは、企業におけるクラウドサービスの導入と利用が進む中、オラクル・コーポレーションとKPMGが米国、カナダ、英国、オーストラリア、シンガポールの5か国のサイバーセキュリティおよびIT専門家450人を対象に、クラウド利用におけるセキュリティの現状について調査したもの。
90%がクラウド上に保管しているデータの半数以上が機密性が高いと回答
今回の調査では、回答者の90%が、自社がクラウド上に保管しているデータの半数以上が機密性の高いデータであると回答している。パブリッククラウド環境のセキュリティについて、回答者の83%が、自社のオンプレミス環境と同等あるいはより安全であると考えていることが明らかになり、多くの企業がパブリッククラウド環境のセキュリティを信頼していることが伺える。
さらに、今回の調査では、60%が自社の持つデータの4分の1以上がクラウド上に保管されていると回答した。一方で、97%がクラウドを利用するにあたり自社内にクラウドセキュリティポリシーを定義していると回答する中で、82%は自社の従業員がこのポリシーに従うかどうかを懸念していると回答しており、シャドーITや部門で利用しているクラウドサービスからのセキュリティインシデントが懸念されるという。
今回の調査では、クラウド上における機密性の高いデータの保管が増える中、38%の回答者が、サイバーセキュリティの最優先課題として、クラウド上のセキュリティインシデントの検出・対処を挙げている。また、31%が自社にセキュリティアーキテクトを設置しているとする一方、41%がクラウド・セキュリティアーキテクトを設置しているとし、84%の企業が高度な攻撃者から効果的に防御するために、より多くの自動化を活用するとコミットするなど、企業のクラウドセキュリティに対する意識の高さが伺える。
一方で、KPMGコンサルティングが昨年国内の大手企業を対象に実施した企業のサイバーセキュリティに関する実態調査「サイバーセキュリティサーベイ2017」では、47%の日本企業がセキュリティ対策において必要な人材の確保・育成ができていないと回答し、さらに、セキュリティ対策での課題として、セキュリティに知見を持つ実務担当者がいないことを挙げる企業が64%存在している。そのため、日本企業においても、海外と同様、クラウドを含めたセキュリティを専門的に担う担当者の設置が望まれる。
その他の主な調査結果
・セキュリティに関連した従業員によるパソコン操作などのセキュリティイベントデータを効果的に分析し、それに対処できているとする回答は14%に留まった。
・今年5月に施工された欧州の一般データ保護規則(GDPR)への対応が必要とする回答者の95%が、GDPRは自社のクラウド戦略とサービスプロバイダーの選定に影響を及ぼすと考えている。
・36%の回答者が、モバイル機器とアプリケーションの利用拡大によりアイデンティティ/アクセス管理(IAM)の統制と監視が困難になると回答した。
・サイバーセキュリティのための機械学習の利用について、29%が機械学習を限られた範囲で既に使用しており、さらに18%の回答者は機械学習を広範に使用し、24%が既存のセキュリティツールに機械学習を追加利用していると回答している。
・パブリッククラウド環境を利用する企業の98%が、サービスを利用する前にパブリッククラウドサービスプロバイダー(CSP)のセキュリティ体制の評価を行っていると回答した。一方、自社でCSPのセキュリティ体制の評価を行っているとした企業は47%に留まり、52%の企業は第三者に評価を依頼しているとしている。