第88回:クラウドサービスを活用する企業のセキュリティ戦略はどうあるべきか
Radware / Global Application & Network Security Report
合同会社 Office SRC/
代表
2020/02/04
海外のレジリエンス調査研究ナナメ読み!
クラウド普及で対策の見直しも
ところで本報告書で特に注目されているポイントのひとつは、クラウドサービスの普及に対するセキュリティ対策の対応である。クラウドサービスには大きく分けて、特定組織のみに利用されるように構築されたプライベートクラウドと、不特定多数のユーザーから利用されるパブリッククラウドの2種類があるが、本報告書が主な対象としているのはパブリッククラウドの方である。
特に近年はクラウドで提供されるサービスが急激に増えているので、複数のクラウドサービスを利用している企業も増えている。ちなみに本報告書の回答者の3割近くが2種類のクラウドサービスを、1割が4種類以上のクラウドサービスを利用しているとのことである。
企業が情報システムを自社管理のサーバーからクラウドに移行する際には、システムやネットワークが従来とは異なるリスクに晒されることになる。例えば、クラウドサービスを利用する際の問題のひとつとして、サービス提供者と利用者との間で、ネットワークのセキュリティに関する責任分界点が不明確になりやすいという問題がある。本報告書においても、自らが利用しているクラウドサービスにおけるセキュリティの責任分界点が不明確だという回答が65%、このような誤解によって対策が漏れていたことがあったという回答が53%あったと報告されている。
したがって企業としては、クラウドに移行するメリット(利便性やコストなど)とリスクの変化との間のバランスを考えて、クラウドに移行するかどうかを慎重に決断し、かつ当然ながらセキュリティ対策も大幅に見直す必要がある。そこで本報告書ではクラウドサービス利用者のセキュリティ対策状況について調査している。
図2はクラウドサービスの利用者が実際に実施している対策の内容を尋ねた結果である。「Use the native security tools of the public cloud vendors」(クラウドサービスの提供者が用意したセキュリティツールを使用している)と「Combine native tools with third-party solutions」(クラウドサービスの提供者が用意したセキュリティツールと、他社が開発したツールとを併用している)が同率首位となっている。
写真を拡大 図 2. クラウドサービスを利用している組織におけるセキュリティ対策状況 (出典: Radware / Global Application & Network Security Report)
しかしながら、クラウドサービス提供者が必ずしもネットワークのセキュリティに関して長けているとは限らず、また前述のように責任分界点が不明確になりがちであることから、利用者としてはクラウドサービス提供者による対策に依存せず、ネットワークのセキュリティを専門とする他社が開発したツールや包括的なセキュリティ対策サービスを併用することを含めて、セキュリティ戦略を再考することが提言されている(注4)。
本報告書では他にも、IoTや5Gネットワークなどといった新しいテクノロジーへの対応や、サイバーセキュリティに関して2020年に起こりうることなどがまとめられている。最近は日本企業がサイバー攻撃を受けて報道される事案が増えてきたため、このような分野に関心が高くなった方も少なくないと思われるので、IT が専門でない方々においてもこのような報告書に目を通して、今後起こりうる脅威に関して視野を広げ、知識を備えておくことをお勧めしたい。
■ 報告書本文の入手先(PDF 40 ページ/約 12.2 MB)
https://www.radware.com/ert-report-2020/
注 1) DDoS は Distributed Denial of Service の略で、インターネット上に分散した複数のサイトから、特定のサイトに集中的に大量のアクセスを発生させて、標的となったサイトが機能不全に陥るようにするもの。
注 2) API は Application Programming Interface の略で、ソフトウェアやサービスの機能の一部を別のソフトウェアから利用できるように、その機能の動かし方を一部公開しているもの。例えば YouTube が公開している API を使ってスマートフォン用のアプリを開発すれば、スマートフォンで撮影した動画を YouTube に簡単に公開できるようになる。API abuse はこの機能を悪用して、API の公開元が意図しなかったような方法でアクセスする。
注 3) 原文では bot traffic と表現されており、サーバーや個人のパソコンなどに仕込まれた様々なプログラム(bot)が他社への攻撃のために発生させるアクセス(traffic)の総称である。
注 4) 当然ながら本報告書を作成した Radware 社が提供しているソリューションの販促であろうが、それを差し引いても重要な指摘であると言えよう。
(了)
- keyword
- 世界のレジリエンス調査研究ナナメ読み
- サイバー攻撃
- クラウドサービス
海外のレジリエンス調査研究ナナメ読み!の他の記事
直近のセミナー・イベント
おすすめ記事
-
-
リスク対策.com編集長が斬る!【2024年4月23日配信アーカイブ】
【4月23日配信で取り上げた話題】今週の注目ニュースざっとタイトル振り返り/特集:南海トラフ地震臨時情報を想定した訓練手法
2024/04/23
-
-
-
2023年防災・BCP・リスクマネジメント事例集【永久保存版】
リスク対策.comは、PDF媒体「月刊BCPリーダーズ」2023年1月号~12月号に掲載した企業事例記事を抜粋し、テーマ別にまとめました。合計16社の取り組みを読むことができます。さまざまな業種・規模の企業事例は、防災・BCP、リスクマネジメントの実践イメージをつかむうえで有効。自社の学びや振り返り、改善にお役立てください。
2024/04/22
-
-
リスク対策.com編集長が斬る!【2024年4月16日配信アーカイブ】
【4月16日配信で取り上げた話題】今週の注目ニュースざっとタイトル振り返り/特集:熊本地震におけるBCP
2024/04/16
-
調達先の分散化で製造停止を回避
2018年の西日本豪雨で甚大な被害を受けた岡山県倉敷市真備町。オフィス家具を製造するホリグチは真備町内でも高台に立地するため、工場と事務所は無事だった。しかし通信と物流がストップ。事業を続けるため工夫を重ねた。その後、被災経験から保険を見直し、調達先も分散化。おかげで2023年5月には調達先で事故が起き仕入れがストップするも、代替先からの仕入れで解決した。
2024/04/16
-
工場が吹き飛ぶ爆発被害からの再起動
2018年の西日本豪雨で隣接するアルミ工場が爆発し、施設の一部が吹き飛ぶなど壊滅的な被害を受けた川上鉄工所。新たな設備の調達に苦労するも、8カ月後に工場の再稼働を果たす。その後、BCPの策定に取り組んだ。事業継続で最大の障害は金属の加温設備。浸水したら工場はストップする。同社は対策に動き出している。
2024/04/15
-
動きやすい対策本部のディテールを随所に
1971年にから、、50年以上にわたり首都圏の流通を支えてきた東京流通センター。物流の要としての機能だけではなく、オフィスビルやイベントホールも備える。2017年、2023年には免震装置を導入した最新の物流ビルを竣工。同社は防災対策だけではなく、BCMにも力を入れている。
2024/04/12
![2022年下半期リスクマネジメント・BCP事例集[永久保存版]](https://risk.ismcdn.jp/mwimgs/8/2/160wm/img_8265ba4dd7d348cb1445778f13da5c6a149038.png)
![危機管理2022[特別版]](https://risk.ismcdn.jp/mwimgs/f/6/160wm/img_f648c41c9ab3efa47e42de691aa7a2dc215249.png)
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方