クラウド内の機密データ、「6割以上暗号化」はわずか16％–タレスDISが国内調査

今回は「クラウド内の機密データ、「6割以上暗号化」はわずか16％–タレスDISが国内調査」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　タレスDISジャパンは9月27日、クラウドセキュリティに関して実施した調査結果を発表した。同調査は、17カ国のセキュリティプロフェッショナルとエグゼクティブリーダー約2800人を対象に実施したもの。アジア太平洋地域では、オーストラリア、香港、インド、日本、ニュージーランド、シンガポール、韓国の中堅企業および大企業に所属する876人が調査に参加し、日本からの回答者は203人だった。

　まず、タレスDISジャパン クラウドプロテクション＆ライセンシング データプロテクション事業本部本部長の藤岡健氏は、アジア太平洋地域の回答者の60％が複数のクラウドプロバイダーを利用していることから、マルチクラウドの導入が本格化していると指摘。こうした状況の中で、クラウドの複雑さが大きな懸念事項だとしている。

　それを示す数字として、「オンプレミスネットワークよりもクラウドでプライバシーとデータ保護の規制を管理する方が複雑である」との回答が、アジア太平洋地域で49％に上っていることが挙げられる。一方で、「機密データの61％以上をクラウド以外で保存している」との回答は20％。つまり、重要なデータがますますクラウドへと移行していることがわかる。

　また、アジア太平洋地域で「過去にクラウドベースのデータ侵害や監査の失敗を経験した」との回答が43％に上った。日本ではその割合がわずかに少なく39％だが、2021年には29％だったことから、1年で10％も増加したことになる。その背景について藤岡氏は、「クラウドの利用が増加したことや、監査条件が強化されていること、データ侵害そのものが増えていることなどさまざまな理由が挙げられる」としているが、機密データを保護する重要性が高まっていることは明らかだ。

　クラウドセキュリティのポリシーと標準については、アジア太平洋地域の回答者の47％が、「ポリシーはセキュリティチームが一元的に定義しているが、技術標準の定義と適用はクラウドデリバリーチームに委ねられている」と回答。一方で、「ポリシーと標準はセキュリティチームが自ら選んだツールを使用し、一元的に定義し適用している」との回答は38％で、「ポリシーと標準、適用がクラウドデリバリーチームに委ねられている」との回答は15％だった。

　クラウドでの暗号化については、アジア太平洋地域の回答者の46％が、クラウド暗号化の使用場所や使用方法の主な推進要因となっているのは「内部セキュリティアーキテクチャーの決定」であると回答。また、38％が「規制コンプライアンス」と回答した。ただし、「クラウド内の機密データの61％以上が暗号化されている」と回答したのはわずか21％で、日本ではさらに低い16％だった。

　それでも、クラウドコンソールで暗号鍵を管理しているアジア太平洋地域の企業は、2021年よりも7％増加し54％だった。これについて藤岡氏は、「鍵管理ソリューションを統合する動きが始まり、その動きが加速している」と述べている。

　一方、アジア太平洋地域では鍵管理が無秩序に拡散していることが問題となっている。使用している鍵管理ソリューションの数が「1～2つ」と回答しているのはわずか12％で、「5つ以上利用している」との回答が55％にも上った。しかも日本ではその率が61％だった。

　調査では、ゼロトラストに関する取り組み状況についても質問している。アジア太平洋地域の回答者の80％が「ゼロトラスト計画を検討中、評価中、または実行中」と回答し、62％が「クラウドアクセスでゼロトラストの原則と手法を活用したい」と回答するなど、取り組みが進む一方で、「ゼロトラスト戦略がない」との回答も20％存在した。

　藤岡氏は、ゼロトラストのデータセキュリティで考慮すべき点として、「機密データを検出し分類すること」「機密性の高い保存データ、移動中のデータ、使用中のデータを保護すること」「機密データへのユーザーアクセスを制御し、ライフサイクル全体を通じて鍵を管理すること」の3点を挙げ、「これからの時代はこれらが求められる」と述べた。