セキュリティベンダーのVenafiは9月28日(米国時間)、「81% of companies had a cloud security incident in the last year|Venafi」において、クラウド環境の複雑さがサイバーセキュリティに与える影響を評価した調査結果を発表した。

  • 81% of companies had a cloud security incident in the last year|Venafi

    81% of companies had a cloud security incident in the last year|Venafi

Venafiの調査によって、過去12か月間に81%の組織がクラウド関連のセキュリティインシデントを経験し、約半数(45%)が少なくとも4件のインシデントに見舞われていることが明らかとなった。Venafiはこれらのセキュリティインシデントの根本的な問題は、クラウドの導入に伴うセキュリティと運用の複雑性が劇的に増大したことにあると指摘している。

調査に参加した企業が経験したクラウド関連の一般的なセキュリティインシデントが紹介されている。主なセキュリティインシデントは次のとおり。

  • ランタイム中のセキュリティインシデント(34%)
  • 不正なアクセス(33%)
  • 設定ミス(32%)
  • 修正されていない重大な脆弱性(24%)
  • 監査の失敗(19%)

今回、クラウドへの移行に関連して抱いている運用上およびセキュリティ上の重大な懸念も調査している。主な懸念は次のとおり。

  • アカウント、サービス、トラフィックの乗っ取り(35%)
  • マルウェアやランサムウェア(31%)
  • EU一般データ保護規則(GDPR: General Data Protection Regulation)などのプライバシー/データアクセスに関する問題(31%)
  • 不正アクセス(28%)
  • 国家による攻撃(26%)

さらに、クラウドベースのアプリケーションを保護するための責任が社内のどのチームに割り当てられているかについての調査も行われている。クラウドアプリケーションのセキュリティを管理しているのは、企業のセキュリティチーム(25%)が最も多く、次いでクラウドインフラを担当する運用チーム(23%)、複数のチーム間で共有する共同作業(22%)、クラウドアプリケーションの開発者(16%)、DevSecOpsチーム(10%)と続いており、組織によって違いがあることがわかった。

誰がセキュリティを管理するべきかという質問に対しては、クラウドインフラストラクチャの運用チームと企業のセキュリティチームが責任を分担する(24%)という回答が最も多く、複数のチームで責任を分担する(22%)、クラウドアプリケーションの開発者(16%)、DevSecOpsチーム(14%)と続いている。

  • Who should be responsible for security clould-based applications? |Venafi

    Who should be responsible for security clould-based applications? |Venafi

Venafiは、クラウドアプリケーションのセキュリティに関して誰が責任を持つべきかという質問に対して明確なコンセンサスが得られなかったと説明。そのため、クラウドセキュリティのアプローチをリセットし、クラウドやアプリケーション間で一貫性のある、観測可能で制御可能なセキュリティサービスを構築する必要があると助言している。