2014年11月6日11:53
SafeNetは、同社がPonemon Instituteに委託した調査で、IT部門の過半数がクラウド上の企業データの保護について把握しておらず、機密情報が危険にさらされていることが判明したと発表した。同調査は、日本を含む世界各国のITおよびITセキュリティの専門家1,800名以上を対象に行われた。
同調査では、多くの企業でクラウドコンピューティングを活用する傾向がますます高まっている一方で、IT部門の担当者がクラウドに保存されるデータの管理やセキュリティの統制に苦労していることが明らかになったという。同調査で、クラウド上の機密情報の保護について役割や責任を明確に定義している企業はわずか38%に過ぎないことが判明した。さらに、クラウドに保存されている企業データの44%がIT部門の管理下や制御下にないことが混乱に追い打ちをかける結果となっている。
調査に回答したIT担当者のうち3分の2以上(71%)は、従来のセキュリティ対策ではクラウド上の機密情報の保護が困難であると述べている。また、約半数(48%)はクラウド上のデータへのエンドユーザーのアクセスを制御、制限することはより難しいと答えている。そのため、3分の1を超える(34%)IT専門家が、特定のクラウドコンピューティングリソースを利用する場合に暗号化などのセキュリティ対策を義務付けるポリシーを導入していると答えている。
また、回答者の71%は、機密情報を暗号化またはトークン化できるようにすることが重要だと答え、そのうち79%はこういった対策が今後2年間でますます重要となるだろうと答えている。
クラウド上のデータ保護のために現在実施している対策については、43%の回答者がプライベートネットワーク接続を使用していると述べている。また、39%の回答者が、暗号化、トークナイゼーション、またはその他の暗号化ツールを使いクラウド上のデータを保護していると回答している。さらに、33%は自社のセキュリティ対策について把握していないと答え、29%はクラウドプロバイダーが提供するプレミアムセキュリティサービスを利用していると回答したそうだ。
そのほか、回答者は、自社で使用する鍵管理や暗号化のプラットフォーム数が増えている中、クラウド上のデータ保護には暗号鍵の管理も重要であると述べている。54%の回答者は、データがクラウドに保存される際に暗号鍵を管理していると回答。しかし、45%は暗号鍵をデータが保存されるソフトウェア内に保存していると答え、暗号鍵をハードウェアデバイスなどのさらに安全な環境に保存していると回答したのは27%にとどまった。
クラウド上のデータへのアクセスに関しては、68%の回答者がクラウドのユーザーIDの管理がより難しくなると答え、62%は自社では第三者がクラウドへアクセスしていると回答している。また約半数(46%)は、クラウド環境での第三者によるデータへのアクセスに自社では多要素認証を使用していると回答し、ほぼ同数(48%)が社員によるクラウドへのアクセスに多要素認証を使用していると答えている。
Safenetでは、クラウド上でのデータセキュリティのための主な推奨事項として、まずIT部門の役割は変化しており、クラウドITという新しい現実に適応していかねばならないとしている。そのために必要とされていることは、セキュリティに関する社員教育、データに関するガバナンスとコンプライアンスの包括的なポリシーの設定、クラウドサービスのソーシングについてのガイドラインの作成、そしてクラウドに保存すべきデータとそうではないデータを区分するためのルールの確立などとなる。
また、IT部門は、クラウドでのデータ保護管理を集中的に行う一方で、社内の各部署がクラウドベースのサービスを必要に応じてソーシングできるようなデータセキュリティ対策(「エンクリプション・アズ・ア・サービス」など)を導入することにより、「シャドーIT」の使用を可能にしながら企業データを保護することができるとしている。
さらに、企業がますます多くのデータをクラウドに保存し、社員向けのクラウドベースのサービスをさらに活用するようになるにつれ、IT部門は多要素認証によるより強固なユーザーアクセス制御に注力していく必要がある。これは、第三者やベンダーをクラウド上のデータへアクセスさせている企業では特に重要であるという。集中的に管理できる多要素認証ソリューションにより、クラウドであってもオンプレミスであってもアプリケーションやデータへのアクセスをより安全に提供することができると、同社では発表している。