サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

SHIFT SECURITY

クラウドセキュリティの
学び場

SHIFT SECURITY クラウドセキュリティの学び場 インシデント事例 半数の企業が自社データの4割をクラウドに保管、タレス調査

半数の企業が自社データの4割をクラウドに保管、タレス調査

山の中にピラミッド
目次
  • 今回の解説ニュース
  • クラウドサービスの利用が想像以上に進んでいる背景
  • 内部の脅威や人的ミスを発生させない方法

ニュース解説

半数の企業が自社データの4割をクラウドに保管、タレス調査

タレスDIS CPLジャパン株式会社は6月22日「2021年タレス・グローバル・データ脅威レポート」の調査結果を発表した。(記事はこちら)

日本を含めた世界16カ国のセキュリティに影響力を持つ2600人以上を対象とした調査で、過去1年間に侵害を経験した組織は約2倍となり、コロナ禍でリモートワークが進む中、十分なセキュリティ対策ができていない組織も約半数という結果が出ています。日本と世界の調査結果はほぼ変わらないので、世界の数字をベースに内容について見ていきましょう。

今回の調査は幅広い業界にわたり、ITとデータ・セキュリティに責任や影響力を持つ2,600人以上の経営幹部が調査対象で、日本では201人が回答しているということです。

侵害経験者のうち、過去1年間に侵害を経験したことがあるのは2019年の21%に対して2020年は41%で、直近の脅威が急増しています。具体的な手段としてはマルウェアが54%、ランサムウェアが48%、フィッシングが41%ということで、この配信でもよく触れているインシデントの原因が上位を占めています。

また、46%の組織がコロナ禍で進んだリモートワークに対して十分なリスク対応ができていないと回答しているということです。なお、世界では50%、日本では63%の組織が、データの40%以上を外部のクラウド環境に保管していると回答しており、クラウドサービスのセキュリティ対策を懸念していることが、数字の要因になっているのではないかと考えられます。

クラウドサービスの利用が想像以上に進んでいる背景

クラウドサービスの利用が想像以上に進んでいる背景に、コロナ禍におけるリモートワークへの緊急対応が要因であると考えられます。記事にも「パンデミック中のリモートワークが企業のリスクを高めた」とありますので、具体的にどのような脅威が考えられるかについて説明します。

リモートワークでリスクが高まる要因の一つとして、エンドポイントに対する脅威が考えられます。理由は、エンドポイントが境界型セキュリティの外へ移動するからです。境界型セキュリティとは、ネットワークを大きく内部と外部に分けて、その境界線にセキュリティ製品を設置することで、内部ネットワークを保護する方法です。リモートワークでパソコンが常時外部ネットワークに接続されることになり、エンドポイントは常に脅威にさらされているといえます。

高まるリスクへのセキュリティ対策として、EDRの導入を検討する組織が増えてきました。EDRとは、Endpoint Detection and Responseの略で「エンドポイントでの検知と対応」と訳されます。すべての新たな脅威へ未然に対応することは現実的に難しく、エンドポイントを常に監視して、ふるまいを分析することが有効とされています。EDRの運用は検知した後の対応まで考える必要があり、自組織だけでは対応が難しい場合は、運用をセキュリティ企業へ委託することも可能です

内部の脅威や人的ミスを発生させない方法

内部の脅威や人的ミスを発生させない方法として、属人性の排除と仕組化を重視しています。具体的な取り組みについて説明します。

最も人的ミスが起きやすいシステムとしてメールが挙げられます。メールは誤送信やマルウェア添付、フィッシングなど、様々な脅威が考えられます。性弱説の考え方に基づいた場合、人的ミスを発生させる仕組みに問題があると考えられます。つまり、人はメールを誤送信するもの、マルウェアをクリックするものである前提でリスクを軽減させる方法を考える必要があります。

具体的には、メールを送受信できる人を制限しています。例えば、組織内だけのコミュニケーションであればメールを使う必要はありません。SlackやTeamsなどのチャットシステムを利用することで、メールにかかわる様々なリスクを除去できます。

組織外とのコミュニケーションでメールが必要な場合、一般的なマルウェア対策以外に、メールの誤送信チェックを仕組化しています。メールを組織外へ送信する場合、宛先が間違っていないか、タイトルが適切であるか、添付ファイルは暗号化されているかなど、別の担当者がチェックしてからでないと送信できません。

もちろん、誤送信チェックのフローは少なからず担当者の時間を消費してしまい、効率化とは相反するものです。セキュリティと利便性はトレードオフという側面があるため、ただガチガチに固めるセキュリティではなく、安全性と利便性とのバランスを十分に考えたいですね。

音声で聴かれるかたはこちら

あなたの疑問を一緒に解決します!

解説してほしい用語や技術、仕組みについての疑問、
みなさまのクラウドセキュリティのお悩みに関して技術者が記事にして回答します!
ぜひご気軽にご投稿ください。

クラウドの脆弱性診断にご興味があるかたはこちら

この記事の著者 セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。

\ 記事をシェアする /

サービスに関する
お問い合わせ