クラウド データの侵害と複雑性の増大: セキュリティの課題にどう対処するか?

451 Research の最近のクラウド セキュリティ レポートによると、クラウドの導入率、特にマルチクラウドの導入率は世界中で依然として上昇傾向にあります。 2021 年、世界中の組織が平均 110 個の Software as a Service (SaaS) アプリケーションを使用しており、これは 2015 年のわずか 8 個から増加しており、驚異的な急速な成長を示しています。

複数の IaaS プロバイダーの使用が大幅に増加し、企業のほぼ 4 分の 3 (72%) が複数の IaaS プロバイダーを使用しており、これは前年の 57% から増加しています。複数のプロバイダーの使用はほぼ倍増し、回答者の 5 人に 1 人 (20%) が 3 つ以上のプロバイダーを使用していると報告しました。

クラウド サービスの人気と利用が高まっているにもかかわらず、企業はクラウド サービスの複雑さが増していることについて共通の懸念を抱いており、IT プロフェッショナルの大多数 (51%) は、クラウドでのプライバシーとデータ保護の管理がより複雑になっていることに同意しています。さらに、クラウドへの移行はますます複雑になってきており、最もシンプルなリフトアンドシフト移行を希望すると答えた回答者の割合は、2021 年の 55% から現在は 24% に減少しています。

マルチクラウドの複雑さによるセキュリティ上の課題

複雑さが増すにつれて、強力なネットワーク セキュリティの必要性も高まります。機密データの何パーセントがクラウドに保存されているかを尋ねたところ、大多数 (66%) が 21 ～ 60% と回答しました。しかし、すべてのデータを完全に分類できると答えたのはわずか4分の1（25%）でした。

さらに、回答者のほぼ 3 分の 1 (32%) が、政府機関、顧客、パートナー、または従業員に侵害通知を送信する必要があることを認めました。これは、特に規制の厳しい業界の機密データを扱う企業にとって懸念事項となるはずです。

サイバー攻撃は、クラウド アプリケーションとデータに対して継続的なリスクももたらします。回答者は、攻撃がより一般的になっていると述べ、4分の1 (26%) がマルウェアの増加、25% がランサムウェアの増加、5分の1 (19%) がフィッシング/ホエーリングの増加を報告しました。

機密データを保護する

IT プロフェッショナルは、マルチクラウド環境でデータを保護する場合、暗号化が重要なセキュリティ制御であると考えています。回答者の大多数は、クラウド内の機密データを保護するために現在使用しているセキュリティ技術として、暗号化 (59%) とキー管理 (52%) を挙げています。

しかし、クラウド内のデータの何パーセントが暗号化されているかを尋ねたところ、81～100%が暗号化されていると答えた回答者は10人中1人（11%）に過ぎませんでした。さらに、キー管理プラットフォームの無秩序な拡大は企業にとって問題となる可能性があります。回答者のわずか 10% が 1 つまたは 2 つのプラットフォームを使用しており、90% が 3 つ以上のプラットフォームを使用しており、ほぼ 5 人に 1 人 (17%) が 8 つ以上のプラットフォームを使用していると認めています。

クラウド内のデータを保護する場合、暗号化は企業にとって優先的に注力すべき領域です。実際、回答者の 40% は、盗まれたデータや侵害されたデータが暗号化またはトークン化されていたため、侵害通知プロセスを回避できたと回答しており、暗号化プラットフォームの具体的な価値を実証しています。

クラウドベースのテクノロジーを利用する企業が増え、特にリモートワークが普及しているため、システムのセキュリティを確保し、機密データを保護することが重要です。クラウド ストレージの使用は必ずしも危険ではありませんが、企業が認識し、防止方法を理解しておくべきセキュリティ上の脆弱性がいくつかあります。

最も一般的なクラウドセキュリティの課題

1. データ漏洩

クラウド セキュリティの主なリスクは、セキュリティ対策が不十分でデータ侵害につながることです。企業は、オンライン ストレージ プロバイダーが個人情報や機密データの漏洩や不正アクセスに対する完全な保護を保証していることを確認する必要があります。

クラウド サービスには、ファイルのアップロードやダウンロードに使用できる、公開アクセス可能な URL が付属していることがよくあります。不適切なセキュリティ制御が使用されない場合、データ漏洩につながる可能性があります。企業は、強力なリンク暗号化とアクセス制限を通じてこのリスクを軽減する必要があります。

2. データ損失

すべてのクラウド サービス プロバイダーが、必要に応じてバックアップを生成する機能を備えているわけではありません。つまり、企業が信頼性の高いバックアップを提供する組織にファイルを保存していない場合、データ損失のリスクが生じます。

3. アカウントの乗っ取り

サイバー犯罪者はログイン情報を収集してクラウドに保存されている機密データにアクセスし、ネットワーク インフラストラクチャの脆弱性を悪用することが知られているため、ベスト プラクティスとしては、強力なパスワードを使用し、頻繁に変更することです。

4. 内部からの脅威

セキュリティの脅威は外部からだけ発生するものではありません。管理者、開発者、機密データにアクセスできるその他の信頼できる従業員が誤って損害を引き起こす可能性もあります。クラウド ソフトウェアを適切に使用する方法について従業員をトレーニングすることが重要です。

5. 安全でないインターフェース

安全でない API を備えたクラウド サービスは、情報の機密性と整合性を脅かし、データとシステムが公開されるリスクがあります。通常、ハッカーは、ブルートフォース攻撃、サービス拒否攻撃、中間者攻撃という 3 種類の攻撃を使用して API を侵害しようとします。

6. リポジトリに対する制御がない

多くの場合、データが保存される場所を制御することはほとんどできません。違反が発生した場合、それがどこで発生したかさえ分からない可能性があります。このリスクを軽減するために、管理者は各場所のセキュリティ対策を理解し、アップロードする前にデータを暗号化することをお勧めします。

クラウド セキュリティ リスク管理のベスト プラクティス

1. クラウド侵入テスト

クラウド侵入テストは、クラウドベースのシステムのサイバーセキュリティの強度を評価する効果的かつ積極的な方法であるため、企業のリスク管理戦略の一環として定期的に実行する必要があります。実際のハッカーと同じように、クラウドの脆弱性を調査してシステムをテストします。

2. 緊急時対応計画

オンライン ストレージ プロバイダーが、自然災害やテロ攻撃などの重大な緊急事態が発生した場合にサーバー上に保存されている情報を保護するための戦略を概説した事業継続計画を持っていることを確認してください。また、すべてが適切に機能していることを確認するために、この計画をどのくらいの頻度でテストするかについても尋ねる必要があります。

3. データセキュリティ監査

サービスプロバイダーに、ネットワーク上に保存されているエンドユーザーの個人データや機密ファイルを保護するためのセキュリティ管理の定期的な監査を実施しているかどうかを尋ねます。そうでない場合は、システム管理者が実装したセキュリティ対策について完全な透明性を提供できる別のクラウド パートナーを探す必要があるかもしれません。

4. 安全研修

また、クラウド ストレージ プロバイダーが、クラウド サービスに伴う潜在的なサイバー脅威やセキュリティ リスクについてスタッフを教育するためのトレーニングを提供しているかどうかも確認する必要があります。従業員は、特にエンドユーザーの個人情報やリモートで保存されたファイルに対するソーシャル エンジニアリング攻撃を回避する場合、企業のデータ管理システムの内部の仕組みを理解する必要があります。

セキュリティサービスについて詳しく見る

多くのサービスプロバイダーは顧客に 24 時間 365 日のサポートを提供できないことに注意してください。そのため、営業時間外に問題が発生すると、非常にイライラすることがあります。

知らせ

オンライン ストレージ プロバイダーに、顧客に対して 24 時間 365 日のテクニカル サポートを提供しているかどうかを尋ねるか、少なくともサービス関連の問題を解決するための平均応答時間を把握するようにしてください。

クラウド コンピューティングにより、企業はサーバーを保守することなく、事実上どこからでも重要なデータにアクセスできるようになることは間違いありません。

知らせ

ハッカーが機密性の高いビジネスクリティカルなデータにリモートアクセスしてクラウド アプリケーションを侵害するのを防ぐには、適切なリスク管理が必要です。

クラウド サービスのリスクと脆弱性を理解することは、サイバー犯罪者からビジネスを保護するために重要です。クラウド侵入テスト サービスを含むサイバーセキュリティ ソリューションは、クラウド セキュリティを懸念する企業に大きな安心感を与えるのに大いに役立ちます。

知らせ

クラウド侵入テストでは、ほとんどのクラウド サービス プロバイダーの脅威監視を識別および管理し、企業に詳細な脅威評価を提供できます。

クラウド プロバイダーにサインアップする前に、そのプロバイダーがビジネスに必要なセキュリティを提供しているかどうかを確認する必要があります。

知らせ

調査を行えば行うほど、どの企業が自分のニーズに最適な機能とセキュリティを提供しているか、またどの企業が機密保持の実績があるかを判断しやすくなります。

記事参照リンク:

• *https://www.cloudcomputing-news.net/news/2022/jun/07/cloud-data-breaches-and-cloud-complexity-on-the-rise/
• *https://www.cloudcomputing-news.net/news/2022/aug/18/cloud-computing-security-risks/​