マカフィーレポート:クラウド上のデータは予想以上に危険に晒されている
マカフィー株式会社
マカフィーレポート:クラウド上のデータは予想以上に危険に晒されている
クラウド上の機密情報、SaaSでのコラボレーション(協働)、
IaaS/PaaSにおける設定ミスが増加するにつれ、クラウド上の脅威も増大
主な調査結果:
・クラウド上の全ファイル中、機密データは21%。年々着実に増加
・オープン且つ、一般からアクセス可能なリンク経由での機密データの共有は前年比で23%増
・パブリッククラウドを使用する企業では、IaaS、PaaSなどのインスタンスで毎月あたり2,200件以上の設定ミスによるインシデントが発生
・クラウドでの脅威インシデント、たとえばアカウント侵害、特権ユーザーなどの内部脅威は前年比で27.7%増
デバイスからクラウドまでを保護するサイバーセキュリティ企業である米国マカフィー(McAfee LLC、本社:米国カリフォルニア州)は、「Cloud Adoption and Risk Report(クラウドの採用とリスクに関するレポート)」を発表しました。本レポートは、クラウドの採用とリスクを明らかにするため、匿名化されたクラウド上の数十億単位のイベントを分析し、その結果をまとめたものです。今回の調査により、クラウド上に格納されている全データのうち21%が機密データに該当し、盗難や漏洩が生じれば企業が危機に直面することが明らかになりました。クラウド上での機密データの共有が対前年比で53%増加していることも相まって、データ保護、システム構成の監査、そしてコラボレーションの制御など、クラウドベースのセキュリティ戦略がない企業は、最も重要な資産、すなわちデータを危険に晒し、また内外の規制違反を引きおこす危険が一層高まります。
この調査では、企業は積極的にパブリッククラウドを利用し、顧客向けの新たなデジタル体験の創造を図る一方で、IaaSやPaaSインスタンスで月平均約2,200件以上もの設定ミスを発生させていることが明らかになりました。クラウドサービス事業者はクラウドそのもののセキュリティについては責任を負いますが、顧客のデータや顧客のインフラ、プラットフォームは事業者側の責任範疇ではありません。自社のデータを護るのは、どこに格納されているにせよ、その企業の責任です。そのためには、SaaSからIaaSやPaaSまでをカバーする、クラウド全般のセキュリティソリューションが必要となります。
米国マカフィーのクラウドセキュリティ事業部 上席バイスプレジデントであるラジブ・グプタ(Rajiv Gupta)は、次のように述べています。「クラウドを利用した業務遂行はもはや標準となり、社員は躊躇なく機密データをクラウドに格納、共有するようになっています。意図しない共有やSaaS上のコラボレーションでのエラー、IaaSやPaaSクラウドサービス上での設定ミスや脅威は増加しています。ビジネスを加速するために、企業はクラウドネイティブでスムーズな方法で自社のデータを保護し、SaaS、IaaSおよびPaaS全般にわたって脅威から護る必要があります。」
クラウド上でのコラボレーションの長所と短所:
クラウドサービスはその優れた拡張性からビジネスを加速して好機をもたらし、迅速なリソースの活用やコラボレーションを可能にします。BoxやOffice 365などのクラウドサービスは、コラボレーションの迅速性と効果を増大するために利用されています。しかし、コラボレーションとは共有することであり、無制御な共有は機密データを危険に晒す可能性があります。
今回の調査では、以下のような実態が明らかになりました。
・外部とファイルを共有するクラウドユーザーは全体の22%、前年比21%増
・機密データをオープンで一般からアクセス可能なリンク経由で共有するケースが前年比で23%増
・機密データの個人メールへの送付は前年比12%増
クラウド上で機密データの安全な保管、ファイル共有、コラボレーションを行うには、企業はまず自社が使用しているクラウドサービスを把握し、どこに機密データが格納されているのか、どのように、そして誰とその機密データを共有しているのかを確認しなければなりません。それらを把握しないと、適切なセキュリティポリシーの強化を図ることはできないのです。実態を把握することで、重要な機密データの未許可のクラウドサービスへの格納を禁じ、許可されたクラウドサービスにおける機密データの不適切な共有、例えば個人的なメールアドレスへの転送やオープンで一般からアクセス可能なリンクを経由した共有などを防止するための、いわば「ガードレール」を設置することが可能になります。
使用しているクラウドサービスの認識と現実:
2018 年 4 月に、マカフィーは「クラウド環境の現状レポートと今後: クラウドの安全性の状況と実用的ガイダンス」というレポートを発行しました。これは 11 か国 1,400 名の IT 専門家に対する、組織のクラウド利用に関する 100 問以上の質問を含む調査をもとにしています。今回のレポートでは、この調査の回答と、今回のマカフィーの分析からわかった現実を比較した内容も収めています。
4月の調査では、自社組織内で使用されているクラウド サービス数を推測するよう尋ねました。平均的な回答は 31で、80 以上あると考えている回答者がわずか 2% 、日本の場合は37という結果でした。一方で、今回の分析でわかった実際企業で使用されているクラウドサービスの平均は 、1,935という結果でした。非常に驚くべき認識のギャップがあることがわかります。つまりIT 部門は 98% のクラウド サービスを認識していないということを意味しています。これは明らかにクラウドのリスクにつながります。
IaaSの設定ミスのリスク:
SaaSではデータ保護、ユーザーIDの管理、データへのアクセス管理は利用者側の責任です。一方、IaaSでは、データ、ID、アクセスに加え、さらにアプリケーション、ネットワーク制御、ホストインフラ等についても、利用者側が責任を負います。これは自社のクラウドインフラに対してより大きな制御を施せる反面、セキュリティーリスクに晒される範囲とそれに対する責任が増大します。アマゾン ウェブ サービス(AWS)などのIaaS型サービスは複数のインフラ プラットフォーム サービスを提供していますが、それぞれに複雑なセキュリティ設定が必要になります。IaaSやPaaS等のセキュリティ問題が増大しているのは、企業が複数のIaaS、PaaSベンダーを利用し、それぞれのベンダーの複数のインスタンスを運用しているからです。
今回の調査では、以下のような実態が明らかになりました。
・IaaS、PaaSの利用ではAWSの割合が94%と最も多いものの、78%はAWSとAzureを併用
・企業のIaaS、PaaSの設定ミス関連のインシデントは一度の運用で平均して14件、その結果、
設定ミスの件数は月ベースで2,200件超
・AWS S3バケットの5.5%は、ワールドリード許可設定がされ、一般公開の状態に
マカフィーでは標準的なセキュリティ対策の一環として、導入したAWS、Azure、Google Cloud Platformや他のIaaS、PaaSの設定に対して常に監査、監視を行い、IaaSやPaaSプラットフォームに格納された情報を保護することを推奨しています。オンプレミス型のデータセンターの代替として、IaaS、PaaSの利用は急速に拡大しています。企業は、SaaSクラウドサービスにおける自社のデータ保護と脅威からの防御、IaaS、PaaSクラウドサービスにおける適切な設定、ワークロードの安全の確保などのセキュリティ対策の責任を果たし、セキュリティ インシデントを未然に防止することが重要です。
アカウント侵害と内部脅威:
クラウド上のデータに対する脅威の大半は、アカウント侵害と内部脅威に起因します。クラウドを利用するエンタープライズ企業では、クラウド上に生成される平均イベント数は月間32億件を超え、その内異常イベントが3,217件、実質的な脅威イベントは31.3件となっています。アカウント侵害と内部脅威について、今回の調査結果では、以下のような実態も明らかになりました。
・アカウント侵害、特権ユーザーまたは内部脅威などのクラウド上の脅威は、前年比で27.7%増
・調査対象の全組織の内80%は、少なくとも1件/月のアカウント侵害が発生
・調査対象の全組織の内92%ではクラウド認証情報が盗まれ、ダーク・ウェブ上で販売されている
・Office365での脅威は、前年比で63%増
アカウント侵害や内部脅威に備えるためには、企業はクラウドサービスがどのように利用されているかを把握する必要があります。また、同じユーザーが同時に複数の異なった場所からアクセスするなど、アカウントの不正利用の恐れがある異常なイベントの特定も必要です。
以上のような実態を改善するためにクラウド上のデータ保護に向けてまず取り組むべきことは、CASB(Cloud Access Security Brokers)(英語)の導入です。CASBはクラウドネイティブのセキュリティサービスで、クラウドサービスのセキュリティ、コンプライアンス、そしてガバナンスポリシーを強化します。CASBは既存のセキュリティ対策を活用し、新たなクラウドネイティブなセキュリティと組み合わせることで、SaaS、IaaS、およびPaaS全般にわたって企業のデータの保護と脅威からの防御を可能にします。
参考資料:
・McAfee MVISION Cloud
https://www.mcafee.com/enterprise/ja-jp/products/mvision-cloud.html
・クラウド環境の現状レポートと今後: クラウドの安全性の状況と実用的ガイダンス
https://www.mcafee.com/enterprise/ja-jp/solutions/lp/cloud-security-report.html
・2016 Office365 Adoption &Risk Report(英語)
https://info.skyhighnetworks.com/WPOffice365CARRQ22016_BannerCloud-MFE.html
調査方法:
当社では、McAfee MVISION Cloud ユーザーのクラウドサービス利用状況を25,000以上のクラウドサービスで用いられるデジタルシグネチャを分析し、追跡しています。今回の「Cloud Adoption and Risk Report(クラウドの採用とリスクに関するレポート)」の作成にあたり、そのうち3,000万人超相当の利用状況に関する匿名化されたデータを分析・集計しました。また、調査を補足する関連データとして、パブリックまたはプライベートクラウドサービスのユーザーである11ヵ国のセキュリティ専門家1,400人を対象とした調査(2018年)も引用しています。
■マカフィーについて
マカフィーはデバイスからクラウドまでを保護するサイバーセキュリティ企業です。業界、製品、組織、そして個人の垣根を越えて共に力を合わせることで実現するより安全な世界を目指し、マカフィーは企業、そして個人向けのセキュリティ ソリューションを提供しています。詳細は http://www.mcafee.com/jp/ をご覧ください。
*McAfee、McAfeeのロゴは、米国およびその他の国におけるMcAfee, LLCの商標です。
*その他の製品名やブランドは、該当各社の商標です。
【U23日本代表】退場にPK…開催国カタールの判定巡り疑惑の声 A代表アジア杯決勝も物議
「マイアミの奇跡」中田英寿ら5人は2年後の98年W杯フランス大会に出場/過去の五輪経由W杯
【ソフトバンク】柳田悠岐、落合博満と長嶋茂雄超え!5000打数以上での通算打率歴代5位
仲本工事さんの妻・三代純歌が2日連続で週刊誌との裁判に出廷「悪妻に仕向けて書かれた」
アルラヤン谷口彰悟がU23日本の対戦国カタールの内情語る「スタイルも人間性もサッカーに出ている」
【DeNA】筒香嘉智、2試合計8打席「体のキレはまだまだ」冷静に分析 1軍合流へ状態上げる
【静岡人魂】岩手の元日本代表MF水野晃樹の「地元愛」往復200キロ以上かけて運んだ支援物資
大谷翔平また全国の子どもたちにプレゼント 今度はマットレス約2500本「一緒に大きな夢を」
【DeNA】三浦監督「昨日と別人のような感じ」9回登板の山﨑康晃3連打と押し出し死球でKO
松岡茉優フジ7月期連ドラ「ギークス」で主演「グルーヴを感じて」共演に田中みな実と滝沢カレン
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
小澤征悦と再婚した桑子真帆アナ(34)黒い過去が流出、衝撃の過去にネット騒然
大原櫻子、ガーシー暴露後初のSNS投稿に賛否の声「イメージ最悪になった」
完全にダマされた! 『ラヴィット!』あのちゃん“事故レベル”大暴走は『水ダウ』遠隔操作のしわざだった ネットも納得
ガーシー、またも綾野剛の暴露写真でネット歓喜「この写真見て笑っちゃう」
30キロ減量の華原朋美、痩せた美貌で“ノリノリ動画”公開 美ボディーで熱唱
ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白
大久保佳代子「30代前半は性欲おばけ」“ストッパー”にするためあえてしていたこと明かす
「日本では日本語を喋る努力をしろ」外国人接客への投稿で炎上店主が「お詫びと休業のお知らせ」
アイドルの給与事情明かし「食べていくの無理に…」母が元おニャン子クラブのセクシー女優が訴え
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
岡本夏生(56)、1600日ぶりにブログを更新した現在が衝撃
曙と熱愛した相原勇(52)の現在が衝撃的すぎると話題に
深夜のファミリーマート徘徊、必ず入っている「フエラムネのミニチュアおもちゃ付」を探し求めた結果……
ガーシー、佐野ひなこの暴露を示唆でネット騒然「ファンだったのに」
ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白
ガーシー、またも綾野剛の暴露写真でネット歓喜「この写真見て笑っちゃう」
いなば食品のホームページが表示されない!そして「プレスリリース」もヤバすぎると話題に
小澤征悦と再婚した桑子真帆アナ(34)黒い過去が流出、衝撃の過去にネット騒然
玉置浩二の妻、青田典子(53)の現在がとんでもない事になっていると話題に
【U23日本代表】退場にPK…開催国カタールの判定巡り疑惑の声 A代表アジア杯決勝も物議
「マイアミの奇跡」中田英寿ら5人は2年後の98年W杯フランス大会に出場/過去の五輪経由W杯
【ソフトバンク】柳田悠岐、落合博満と長嶋茂雄超え!5000打数以上での通算打率歴代5位
仲本工事さんの妻・三代純歌が2日連続で週刊誌との裁判に出廷「悪妻に仕向けて書かれた」
アルラヤン谷口彰悟がU23日本の対戦国カタールの内情語る「スタイルも人間性もサッカーに出ている」
【DeNA】筒香嘉智、2試合計8打席「体のキレはまだまだ」冷静に分析 1軍合流へ状態上げる
【静岡人魂】岩手の元日本代表MF水野晃樹の「地元愛」往復200キロ以上かけて運んだ支援物資
大谷翔平また全国の子どもたちにプレゼント 今度はマットレス約2500本「一緒に大きな夢を」
【DeNA】三浦監督「昨日と別人のような感じ」9回登板の山﨑康晃3連打と押し出し死球でKO
松岡茉優フジ7月期連ドラ「ギークス」で主演「グルーヴを感じて」共演に田中みな実と滝沢カレン