第88回:クラウドサービスを活用する企業のセキュリティ戦略はどうあるべきか
Radware / Global Application & Network Security Report
合同会社 Office SRC/
代表
2020/02/04
海外のレジリエンス調査研究ナナメ読み!
クラウド普及で対策の見直しも
ところで本報告書で特に注目されているポイントのひとつは、クラウドサービスの普及に対するセキュリティ対策の対応である。クラウドサービスには大きく分けて、特定組織のみに利用されるように構築されたプライベートクラウドと、不特定多数のユーザーから利用されるパブリッククラウドの2種類があるが、本報告書が主な対象としているのはパブリッククラウドの方である。
特に近年はクラウドで提供されるサービスが急激に増えているので、複数のクラウドサービスを利用している企業も増えている。ちなみに本報告書の回答者の3割近くが2種類のクラウドサービスを、1割が4種類以上のクラウドサービスを利用しているとのことである。
企業が情報システムを自社管理のサーバーからクラウドに移行する際には、システムやネットワークが従来とは異なるリスクに晒されることになる。例えば、クラウドサービスを利用する際の問題のひとつとして、サービス提供者と利用者との間で、ネットワークのセキュリティに関する責任分界点が不明確になりやすいという問題がある。本報告書においても、自らが利用しているクラウドサービスにおけるセキュリティの責任分界点が不明確だという回答が65%、このような誤解によって対策が漏れていたことがあったという回答が53%あったと報告されている。
したがって企業としては、クラウドに移行するメリット(利便性やコストなど)とリスクの変化との間のバランスを考えて、クラウドに移行するかどうかを慎重に決断し、かつ当然ながらセキュリティ対策も大幅に見直す必要がある。そこで本報告書ではクラウドサービス利用者のセキュリティ対策状況について調査している。
図2はクラウドサービスの利用者が実際に実施している対策の内容を尋ねた結果である。「Use the native security tools of the public cloud vendors」(クラウドサービスの提供者が用意したセキュリティツールを使用している)と「Combine native tools with third-party solutions」(クラウドサービスの提供者が用意したセキュリティツールと、他社が開発したツールとを併用している)が同率首位となっている。
写真を拡大 図 2. クラウドサービスを利用している組織におけるセキュリティ対策状況 (出典: Radware / Global Application & Network Security Report)
しかしながら、クラウドサービス提供者が必ずしもネットワークのセキュリティに関して長けているとは限らず、また前述のように責任分界点が不明確になりがちであることから、利用者としてはクラウドサービス提供者による対策に依存せず、ネットワークのセキュリティを専門とする他社が開発したツールや包括的なセキュリティ対策サービスを併用することを含めて、セキュリティ戦略を再考することが提言されている(注4)。
本報告書では他にも、IoTや5Gネットワークなどといった新しいテクノロジーへの対応や、サイバーセキュリティに関して2020年に起こりうることなどがまとめられている。最近は日本企業がサイバー攻撃を受けて報道される事案が増えてきたため、このような分野に関心が高くなった方も少なくないと思われるので、IT が専門でない方々においてもこのような報告書に目を通して、今後起こりうる脅威に関して視野を広げ、知識を備えておくことをお勧めしたい。
■ 報告書本文の入手先(PDF 40 ページ/約 12.2 MB)
https://www.radware.com/ert-report-2020/
注 1) DDoS は Distributed Denial of Service の略で、インターネット上に分散した複数のサイトから、特定のサイトに集中的に大量のアクセスを発生させて、標的となったサイトが機能不全に陥るようにするもの。
注 2) API は Application Programming Interface の略で、ソフトウェアやサービスの機能の一部を別のソフトウェアから利用できるように、その機能の動かし方を一部公開しているもの。例えば YouTube が公開している API を使ってスマートフォン用のアプリを開発すれば、スマートフォンで撮影した動画を YouTube に簡単に公開できるようになる。API abuse はこの機能を悪用して、API の公開元が意図しなかったような方法でアクセスする。
注 3) 原文では bot traffic と表現されており、サーバーや個人のパソコンなどに仕込まれた様々なプログラム(bot)が他社への攻撃のために発生させるアクセス(traffic)の総称である。
注 4) 当然ながら本報告書を作成した Radware 社が提供しているソリューションの販促であろうが、それを差し引いても重要な指摘であると言えよう。
(了)
- keyword
- 世界のレジリエンス調査研究ナナメ読み
- サイバー攻撃
- クラウドサービス
海外のレジリエンス調査研究ナナメ読み!の他の記事
直近のセミナー・イベント
おすすめ記事
-
-
入居ビルの耐震性から考える初動対策退避場所への移動を踏まえたマニュアル作成
押入れ産業は、「大地震時の初動マニュアル」を完成させた。リスクの把握からスタートし、現実的かつ実践的な災害対策を模索。ビルの耐震性を踏まえて2つの避難パターンを盛り込んだ。防災備蓄品を整備し、各種訓練を実施。社内説明会を繰り返し開催し、防災意識の向上に取り組むなど着実な進展をみせている。
2025/06/13
-
「保険」の枠を超え災害対応の高度化をけん引
東京海上グループが掲げる「防災・減災ソリューション」を担う事業会社。災害対応のあらゆるフェーズと原因に一気通貫の付加価値を提供するとし、サプライチェーンリスクの可視化など、すでに複数のサービス提供を開始しています。事業スタートの背景、アプローチの特徴や強み、目指すゴールイメージを聞きました。
2025/06/11
-
-
リスク対策.com編集長が斬る!今週のニュース解説
毎週火曜日(平日のみ)朝9時~、リスク対策.com編集長 中澤幸介と兵庫県立大学教授 木村玲欧氏(心理学・危機管理学)が今週注目のニュースを短く、わかりやすく解説します。
2025/06/10
-
その瞬間、あなたは動けますか? 全社を挙げた防災プロジェクトが始動
遠州鉄道株式会社総務部防災担当課長の吉澤弘典は、全社的なAI活用の模索が進む中で、社員の防災意識をより実践的かつ自分ごととして考えさせるための手段として訓練用のAIプロンプトを考案した。その効果は如何に!
2025/06/10
-
-
緊迫のカシミール軍事衝突の背景と核リスク
4月22日にインド北部のカシミール地方で起こったテロ事件を受け、インドは5月7日にパキスタン領内にあるテロリストの施設を攻撃したと発表した。パキスタン軍は報復として、インド軍の複数の軍事施設などを攻撃。双方の軍事行動は拡大した。なぜ、インドとパキスタンは軍事衝突を起こしたのか。核兵器を保有する両国の衝突で懸念されたのは核リスクの高まりだ。両国に詳しい防衛省防衛研究所の主任研究官である栗田真広氏に聞いた。
2025/06/09
-
危険国で事業展開を可能にするリスク管理
世界各国で石油、化学、発電などのプラント建設を手がける東洋エンジニアリング(千葉市美浜区、細井栄治取締役社長)。グローバルに事業を展開する同社では、従業員の安全を最優先に考え、厳格な安全管理体制を整えている。2021年、過去に従業員を失った経験から設置した海外安全対策室を発展的に解消し、危機管理室を設立。ハード、ソフト対策の両面から従業員を守るため、日夜、注力している。
2025/06/06
-
福祉施設の使命を果たすためのBCPを地域ぐるみで展開災害に強い人づくりが社会を変える
栃木県の社会福祉法人パステルは、利用者約430人の安全確保と福祉避難所としての使命、そして災害後も途切れない雇用責任を果たすため、現在BCP改革を本格的に推進している。グループホームや障害者支援施設、障害児通所支援事業所、さらには桑畑・レストラン・工房・農園などといった多機能型事業所を抱え、地域ぐるみで「働く・暮らす・つながる」を支えてきた同法人にとって、BCPは“災害に強い人づくり”を軸にした次の挑戦となっている。
2025/06/06
![2022年下半期リスクマネジメント・BCP事例集[永久保存版]](https://risk.ismcdn.jp/mwimgs/8/2/160wm/img_8265ba4dd7d348cb1445778f13da5c6a149038.png)
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方