第88回:クラウドサービスを活用する企業のセキュリティ戦略はどうあるべきか
Radware / Global Application & Network Security Report
合同会社 Office SRC/
代表
2020/02/04
海外のレジリエンス調査研究ナナメ読み!
クラウド普及で対策の見直しも
ところで本報告書で特に注目されているポイントのひとつは、クラウドサービスの普及に対するセキュリティ対策の対応である。クラウドサービスには大きく分けて、特定組織のみに利用されるように構築されたプライベートクラウドと、不特定多数のユーザーから利用されるパブリッククラウドの2種類があるが、本報告書が主な対象としているのはパブリッククラウドの方である。
特に近年はクラウドで提供されるサービスが急激に増えているので、複数のクラウドサービスを利用している企業も増えている。ちなみに本報告書の回答者の3割近くが2種類のクラウドサービスを、1割が4種類以上のクラウドサービスを利用しているとのことである。
企業が情報システムを自社管理のサーバーからクラウドに移行する際には、システムやネットワークが従来とは異なるリスクに晒されることになる。例えば、クラウドサービスを利用する際の問題のひとつとして、サービス提供者と利用者との間で、ネットワークのセキュリティに関する責任分界点が不明確になりやすいという問題がある。本報告書においても、自らが利用しているクラウドサービスにおけるセキュリティの責任分界点が不明確だという回答が65%、このような誤解によって対策が漏れていたことがあったという回答が53%あったと報告されている。
したがって企業としては、クラウドに移行するメリット(利便性やコストなど)とリスクの変化との間のバランスを考えて、クラウドに移行するかどうかを慎重に決断し、かつ当然ながらセキュリティ対策も大幅に見直す必要がある。そこで本報告書ではクラウドサービス利用者のセキュリティ対策状況について調査している。
図2はクラウドサービスの利用者が実際に実施している対策の内容を尋ねた結果である。「Use the native security tools of the public cloud vendors」(クラウドサービスの提供者が用意したセキュリティツールを使用している)と「Combine native tools with third-party solutions」(クラウドサービスの提供者が用意したセキュリティツールと、他社が開発したツールとを併用している)が同率首位となっている。
写真を拡大 図 2. クラウドサービスを利用している組織におけるセキュリティ対策状況 (出典: Radware / Global Application & Network Security Report)
しかしながら、クラウドサービス提供者が必ずしもネットワークのセキュリティに関して長けているとは限らず、また前述のように責任分界点が不明確になりがちであることから、利用者としてはクラウドサービス提供者による対策に依存せず、ネットワークのセキュリティを専門とする他社が開発したツールや包括的なセキュリティ対策サービスを併用することを含めて、セキュリティ戦略を再考することが提言されている(注4)。
本報告書では他にも、IoTや5Gネットワークなどといった新しいテクノロジーへの対応や、サイバーセキュリティに関して2020年に起こりうることなどがまとめられている。最近は日本企業がサイバー攻撃を受けて報道される事案が増えてきたため、このような分野に関心が高くなった方も少なくないと思われるので、IT が専門でない方々においてもこのような報告書に目を通して、今後起こりうる脅威に関して視野を広げ、知識を備えておくことをお勧めしたい。
■ 報告書本文の入手先(PDF 40 ページ/約 12.2 MB)
https://www.radware.com/ert-report-2020/
注 1) DDoS は Distributed Denial of Service の略で、インターネット上に分散した複数のサイトから、特定のサイトに集中的に大量のアクセスを発生させて、標的となったサイトが機能不全に陥るようにするもの。
注 2) API は Application Programming Interface の略で、ソフトウェアやサービスの機能の一部を別のソフトウェアから利用できるように、その機能の動かし方を一部公開しているもの。例えば YouTube が公開している API を使ってスマートフォン用のアプリを開発すれば、スマートフォンで撮影した動画を YouTube に簡単に公開できるようになる。API abuse はこの機能を悪用して、API の公開元が意図しなかったような方法でアクセスする。
注 3) 原文では bot traffic と表現されており、サーバーや個人のパソコンなどに仕込まれた様々なプログラム(bot)が他社への攻撃のために発生させるアクセス(traffic)の総称である。
注 4) 当然ながら本報告書を作成した Radware 社が提供しているソリューションの販促であろうが、それを差し引いても重要な指摘であると言えよう。
(了)
- keyword
- 世界のレジリエンス調査研究ナナメ読み
- サイバー攻撃
- クラウドサービス
海外のレジリエンス調査研究ナナメ読み!の他の記事
直近のセミナー・イベント
05/14
リスク対策.com認定リスクアドバイザー養成講座
05/21
全社的リスクマネジメント(ERM)習得講座
05/28
危機管理カンファレンス2025春
06/25
実践的「対策本部」設置・運営講座
おすすめ記事
-
自社の危機管理の進捗管理表を公開
食品スーパーの西友では、危機管理の進捗を独自に制作したテンプレートで管理している。人事総務本部 リスク・コンプライアンス部リスクマネジメントダイレクターの村上邦彦氏らが中心となってつくったもので、現状の危機管理上の課題に対して、いつまでに誰が何をするのか、どこまで進んだのかが一目で確認できる。
2025/04/24
-
-
常識をくつがえす山火事世界各地で増える森林火災
2025年、日本各地で発生した大規模な山火事は、これまでの常識をくつがえした。山火事に詳しい日本大学の串田圭司教授は「かつてないほどの面積が燃え、被害が拡大した」と語る。なぜ、山火事は広がったのだろうか。
2025/04/23
-
リスク対策.com編集長が斬る!今週のニュース解説
毎週火曜日(平日のみ)朝9時~、リスク対策.com編集長 中澤幸介と兵庫県立大学教授 木村玲欧氏(心理学・危機管理学)が今週注目のニュースを短く、わかりやすく解説します。
2025/04/22
-
帰宅困難者へ寄り添い安心を提供する
BCPを「非常時だけの取り組み」ととらえると、対策もコストも必要最小限になりがち。しかし「企業価値向上の取り組み」ととらえると、可能性は大きく広がります。西武鉄道は2025年度、災害直後に帰宅困難者・滞留者に駅のスペースを開放。立ち寄りサービスや一時待機場所を提供する「駅まちレジリエンス」プロジェクトを本格化します。
2025/04/21
-
-
大阪・関西万博 多難なスタート会場外のリスクにも注視
4月13日、大阪・関西万博が開幕した。約14万1000人が訪れた初日は、通信障害により入場チケットであるQRコード表示に手間取り、入場のために長蛇の列が続いた。インドなど5カ国のパビリオンは工事の遅れで未完成のまま。雨にも見舞われる、多難なスタートとなった。東京オリンピックに続くこの大規模イベントは、開催期間が半年間にもおよぶ。大阪・関西万博のリスクについて、テロ対策や危機管理が専門の板橋功氏に聞いた。
2025/04/15
-
BCMSで社会的供給責任を果たせる体制づくり能登半島地震を機に見直し図り新規訓練を導入
日本精工(東京都品川区、市井明俊代表執行役社長・CEO)は、2024年元日に発生した能登半島地震で、直接的な被害を受けたわけではない。しかし、増加した製品ニーズに応え、社会的供給責任を果たした。また、被害がなくとも明らかになった課題を直視し、対策を進めている。
2025/04/15
-
-
生コン・アスファルト工場の早期再稼働を支援
能登半島地震では、初動や支援における道路の重要性が再認識されました。寸断箇所の啓開にあたる建設業者の尽力はもちろんですが、その後の応急復旧には補修資材が欠かせません。大手プラントメーカーの日工は2025年度、取引先の生コン・アスファルト工場が資材供給を継続するための支援強化に乗り出します。
2025/04/14
![2022年下半期リスクマネジメント・BCP事例集[永久保存版]](https://risk.ismcdn.jp/mwimgs/8/2/160wm/img_8265ba4dd7d348cb1445778f13da5c6a149038.png)
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方