第88回:クラウドサービスを活用する企業のセキュリティ戦略はどうあるべきか
Radware / Global Application & Network Security Report
合同会社 Office SRC/
代表
2020/02/04
海外のレジリエンス調査研究ナナメ読み!
クラウド普及で対策の見直しも
ところで本報告書で特に注目されているポイントのひとつは、クラウドサービスの普及に対するセキュリティ対策の対応である。クラウドサービスには大きく分けて、特定組織のみに利用されるように構築されたプライベートクラウドと、不特定多数のユーザーから利用されるパブリッククラウドの2種類があるが、本報告書が主な対象としているのはパブリッククラウドの方である。
特に近年はクラウドで提供されるサービスが急激に増えているので、複数のクラウドサービスを利用している企業も増えている。ちなみに本報告書の回答者の3割近くが2種類のクラウドサービスを、1割が4種類以上のクラウドサービスを利用しているとのことである。
企業が情報システムを自社管理のサーバーからクラウドに移行する際には、システムやネットワークが従来とは異なるリスクに晒されることになる。例えば、クラウドサービスを利用する際の問題のひとつとして、サービス提供者と利用者との間で、ネットワークのセキュリティに関する責任分界点が不明確になりやすいという問題がある。本報告書においても、自らが利用しているクラウドサービスにおけるセキュリティの責任分界点が不明確だという回答が65%、このような誤解によって対策が漏れていたことがあったという回答が53%あったと報告されている。
したがって企業としては、クラウドに移行するメリット(利便性やコストなど)とリスクの変化との間のバランスを考えて、クラウドに移行するかどうかを慎重に決断し、かつ当然ながらセキュリティ対策も大幅に見直す必要がある。そこで本報告書ではクラウドサービス利用者のセキュリティ対策状況について調査している。
図2はクラウドサービスの利用者が実際に実施している対策の内容を尋ねた結果である。「Use the native security tools of the public cloud vendors」(クラウドサービスの提供者が用意したセキュリティツールを使用している)と「Combine native tools with third-party solutions」(クラウドサービスの提供者が用意したセキュリティツールと、他社が開発したツールとを併用している)が同率首位となっている。
写真を拡大 図 2. クラウドサービスを利用している組織におけるセキュリティ対策状況 (出典: Radware / Global Application & Network Security Report)
しかしながら、クラウドサービス提供者が必ずしもネットワークのセキュリティに関して長けているとは限らず、また前述のように責任分界点が不明確になりがちであることから、利用者としてはクラウドサービス提供者による対策に依存せず、ネットワークのセキュリティを専門とする他社が開発したツールや包括的なセキュリティ対策サービスを併用することを含めて、セキュリティ戦略を再考することが提言されている(注4)。
本報告書では他にも、IoTや5Gネットワークなどといった新しいテクノロジーへの対応や、サイバーセキュリティに関して2020年に起こりうることなどがまとめられている。最近は日本企業がサイバー攻撃を受けて報道される事案が増えてきたため、このような分野に関心が高くなった方も少なくないと思われるので、IT が専門でない方々においてもこのような報告書に目を通して、今後起こりうる脅威に関して視野を広げ、知識を備えておくことをお勧めしたい。
■ 報告書本文の入手先(PDF 40 ページ/約 12.2 MB)
https://www.radware.com/ert-report-2020/
注 1) DDoS は Distributed Denial of Service の略で、インターネット上に分散した複数のサイトから、特定のサイトに集中的に大量のアクセスを発生させて、標的となったサイトが機能不全に陥るようにするもの。
注 2) API は Application Programming Interface の略で、ソフトウェアやサービスの機能の一部を別のソフトウェアから利用できるように、その機能の動かし方を一部公開しているもの。例えば YouTube が公開している API を使ってスマートフォン用のアプリを開発すれば、スマートフォンで撮影した動画を YouTube に簡単に公開できるようになる。API abuse はこの機能を悪用して、API の公開元が意図しなかったような方法でアクセスする。
注 3) 原文では bot traffic と表現されており、サーバーや個人のパソコンなどに仕込まれた様々なプログラム(bot)が他社への攻撃のために発生させるアクセス(traffic)の総称である。
注 4) 当然ながら本報告書を作成した Radware 社が提供しているソリューションの販促であろうが、それを差し引いても重要な指摘であると言えよう。
(了)
- keyword
- 世界のレジリエンス調査研究ナナメ読み
- サイバー攻撃
- クラウドサービス
海外のレジリエンス調査研究ナナメ読み!の他の記事
直近のセミナー・イベント
おすすめ記事
-
-
中澤・木村が斬る!今週のニュース解説
毎週火曜日(平日のみ)朝9時~、リスク対策.com編集長 中澤幸介と兵庫県立大学教授 木村玲欧氏(心理学・危機管理学)が今週注目のニュースを短く、わかりやすく解説します。
2025/08/26
-
-
ゲリラ雷雨の捕捉率9割 民間気象会社の実力
突発的・局地的な大雨、いわゆる「ゲリラ雷雨」は今シーズン、全国で約7万8000 回発生、8月中旬がピーク。民間気象会社のウェザーニューズが7月に発表した中期予想です。同社予報センターは今年も、専任チームを編成してゲリラ雷雨をリアルタイムに観測中。予測精度はいまどこまで来ているのかを聞きました。
2025/08/24
-
スギヨ、顧客の信頼を重視し代替生産せず
2024年1月に発生した能登半島地震により、大きな被害を受けた水産練製品メーカーの株式会社スギヨ(本社:石川県七尾市)。その再建を支えたのは、同社の商品を心から愛する消費者の存在だった。全国に複数の工場があり、多くの商品について代替生産に踏み切る一方、主力商品の1つ「ビタミンちくわ」に関しては「能登で生産している」という顧客の期待を重視し、あえて現地工場の再開を待つという異例の判断を下した。結果として、消費者からの強い支持を受け、ビタミンちくわは過去最高近い売り上げを記録している。一方、BCPでは大規模な地震などが想定されていないなどの課題も明らかになった。同社では今、BCPの立て直しを進めている。
2025/08/24
-
-
-
-
ゲリラ豪雨を30分前に捕捉 万博会場で実証実験
「ゲリラ豪雨」は不確実性の高い気象現象の代表格。これを正確に捕捉しようという試みが現在、大阪・関西万博の会場で行われています。情報通信研究機構(NICT)、理化学研究所、大阪大学、防災科学技術研究所、Preferred Networks、エムティーアイの6者連携による実証実験。予測システムの仕組みと開発の経緯、実証実験の概要を聞きました。
2025/08/20
-
![2022年下半期リスクマネジメント・BCP事例集[永久保存版]](https://risk.ismcdn.jp/mwimgs/8/2/160wm/img_8265ba4dd7d348cb1445778f13da5c6a149038.png)
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方