クラウドストレージセキュリティの問題
クラウドストレージは数年前から、特に企業間での使用が増加しています。このようなストレージの需要にクラウドを使用することはデータセキュリティの観点から、どのような影響があるのでしょうか?また、現状の企業間におけるクラウドストレージの安全性に対する認識とデータセキュリティ上の決定はどのように行われているのでしょうか?
これらの疑問の答えを探すため、ISDecisions社は、英国、米国、フランスの中小企業300社のセキュリティ担当者にリサーチを行い、結果をこのレポートにまとめました。
レポートの重要なメッセージは『クラウド上のデータの安全性を確保するために、まだやるべきことが残されている』です。
クラウド業界は初期の課題にどのように対処したでしょうか
クラウドは中小企業のビジネスに変革を起こしました。しかし多くの企業は、クラウドストレージに対する不安や懸念を持っていました。
- 例えば、データ主権は以前は大きな問題であり、企業は自国以外のサーバーに保存されたデータがどこの国の法律の対象となるかどうかについて疑問がありました。
- データセキュリティは明確なもう一つの懸念点であり、多くの企業は、オンプレミスで データを保存することは、第三者のサーバーよりも安全であるという意見を持っていました。
- コンプライアンスの面からも、第三者を全般的に信頼することは困難であるという見方は根強いものがありました。
- 移行:上記3つの点が問題にならない場合でも、実際にクラウドへのデータ移行は、手間と労力がかかり、ハードルの1つとなりました。
クラウド業界は、これらの懸念を払しょくするため何年も費やし信頼を得てきました。世界最大のクラウド企業は、各国にデータセンターを建設するなどデータ主権の問題に取り組んできました。また、データセキュリティとコンプライアンスには多額の投資をしており、コンプライアンスを実証しやすくしながら、データはオンプレミス環境よりもクラウド上の方が安全性が高いケースは多くなっています。そして、クラウド移行については、専門性を持ったチームがより高い技術を磨き、プロセスを可能な限り簡素化できるように改善しています。
データ主権、セキュリティ、コンプライアンス、移行などの懸念点はすべて解消できたのでしょうか?
この答えを知るために、ISDecisions社は英国、米国、フランスの中小企業でビジネス用途でGoogleDrive、box、OneDrive、Dropboxを使用しているIT管理者とともにリサーチを行いました。
中小企業 はクラウドのメリットを享受しています
多額の投資とマーケティング活動の結果、中小企業間でクラウドの採用が急速に増加しており、クラウドを使用している企業は、そのメリットを十分に評価しています。
クラウドサービスを使用して組織の生産性が大幅に向上したと回答
クラウドストレージにより、従業員がどこからでもファイルにアクセスできると回答
クラウドストレージにデータを移動することで経費節減に役立ったと回答
まだ古い認識に基づいた懸念を持っている中小企業は存在します
メリットについて明らかになりましたが、リサーチによって、古い認識がまだ存在していることがわかりました。
データ主権については、全体の51%の人はデータが保存されているサーバーが実際に設置されている国の影響を懸念しています。英国の46%、フランスの43%と比較して、米国の割合は53%と高くなっており、おそらく米国内の州単位の管轄権と複雑さもあって、国内での注目度が高くなっている状況だと考えられます。
また英国とフランスの企業はGDPRに準拠する必要があるため、顧客の要求があれば、顧客データを削除する必要があると回答しています。ヨーロッパの企業の多くは、データ主権により顧客のデータを削除するのが難しくなる可能性を懸念しています。
61%
の中小企業がクラウドのデータの安全性に疑問を持っている
セキュリティに関しては、大規模展開を行うクラウド企業による多額の投資にもかかわらず、中小企業の61%は依然としてクラウド上のデータの安全性に疑問を持っています。さらに半数がクラウドストレージは本質的にオンプレミスのストレージよりも安全性が低いと考えており、さらに45%がデータをクラウドに移行することで安全性が損なわれていると回答しています。
フランスではデータ主権よりもセキュリティについての不安が大きい。
クラウドでデータが安全でないと考える
また、オンプレミスとクラウドのハイブリッド環境で、両方のセキュリティをまとめて管理するケースの難しさもあります。
オンプレミスとクラウドのハイブリッド ストレージ環境で運用している場合、特にセキュリティ面で苦労しています。特にITインフラストラクチャ間で一元化したセキュリティが確保できていないことが要因となっており、オンプレミス、クラウド、両方のストレージ環境のセキュリティを一元化できるツールが必要です。
クラウドストレージを使用するとコンプライアンスの準拠が難しくなると考える人が50%となっており、コンプライアンスに関する見方は改善されていません。
大規模展開を行うクラウド企業は、HIPAA、FISMA、ISO 27001などの主要な規制への準拠を実現するために取り組んできました。しかしクラウドに保存されているデータが不正アクセスによって傍受または変更される可能性はゼロではなく、課題はまだ存在しています。
最後にクラウドにデータを移行する際の手間と労力の問題がありました。データの移行は、住宅の引っ越しと同じように、引っ越しの際に必要なものと不要なものを区別して、新しい保管場所に最適な状態にすることで、データの整理につながります。
- 63%
- クラウド企業は、データを保護していることを実証するために、より多くのことを行う必要があると考えています。
- 53%
- クラウドに保存するとデータが暗号化されない(またはクラウドに転送中に暗号化されていない)のを心配しています。
- 56%
- ハイブリッド環境下にあるデータのセキュリティ管理が難しいと回答しています。
これらのセキュリティ認識が存在する理由
クラウドストレージに対するこのような認識を取り除くため、考察を進めていくと、問題点が明らかとなります。
まず、不正アクセスの検出は難しい
従業員のアカウントの誤用と不適切なアクセス制御により、不正アクセスの検出は、今日のクラウドセキュリティ上の最大の懸念事項の1つです(例えクラウドプロバイダーがどの人がどのファイルにアクセスしたかを知らせる基本的なツールを備えているケースにおいても)。中小企業の31%は、ストレージのためにクラウドに移行して以来、不正アクセスを検出するのが難しいと答えています。
従来、企業がオンプレミスのファイルサーバーにデータを保存する場合、データは不正使用から「比較的」安全です。ネイティブセキュリティでは、企業内の特定のユーザーか、またはユーザーグループのデータへのアクセスのみが許可されます。オフィスからのみファイルアクセスを許可する場合、社外からの不正アクセスに対して有効性がある境界を作ることができます。この境界外からのアクセスに仮想プライベート ネットワーク (VPN) を使用する従業員やパートナーでも、IT担当者は特定のデバイスへのアクセスのみを制限できるため、データは比較的安全です。
クラウドベースのストレージを使用すると、チーム間でデータを共有しやすくなりますが、ストレージが他のクラウドアプリケーションと容易に統合されると、不正アクセスの可能性が大幅に高まります。生産性向上の観点からは有益でも、セキュリティの観点からはIT担当者にとっては頭痛の種です。
第二に、従業員による盗難を止めることは難しい
繰り返しになりますが、オンプレミスのストレージとデスクトップコンピュータだけで、誰かが機密情報を盗もうとした場合、発見されるリスクがはるかに高くなります。しかし、従業員がラップトップ、スマートフォン、タブレット(時には自分のデバイス)を使用してクラウド内の情報にアクセスできる場合、どこからでもアクセスできるため、辞める前に情報を盗むのは簡単に行うことができてしまいます。実際、以前行ったIS Decisionsの調査によると、元従業員の3分の1は退社後も会社のデータにアクセスできることがわかりました。.
第三に、そして最も重要なことは、企業は侵害の脅威にさらされていることです
さらに22%が、漏えいした従業員のログイン情報により外部のハッカーにシステムにアクセスされたことがあるということがわかりました。侵害の結果は非常に大きな損害となり、15%がクラウドネットワークに保存されている機密性の高い企業データに不正にアクセスされたことにより、著しい風評被害を受けたと考えています。
企業の対抗策は?
クラウド活用はビジネスで重要かつ必須となっており、企業はこれらのセキュリティ上の懸念を解消する方法を見つけなければなりません。
クラウドを使用することでセキュリティの懸念があるからといって、企業にとってクラウドは不可欠なものとなりつつあります。実際にクラウドストレージ無しの状況では生産性に大きな影響が出る可能性があるからです。
セキュリティに関しては、主に2つの方法で、セキュリティと生産性のバランスを取るためのラウンドアバウトの方法が求められています。
21%は、クラウドの安全性に疑問を持っており、最も機密性の高いデータはオンプレミスのサーバーに保存すると回答しています。
また機密データの内容に関しては、ほとんどの企業は自社データがクライアントのデータよりも重要であると考えています。
74%が企業のクレジットカード情報は機密性の高いと回答し、71%が従業員の個人情報が機密性の高いと回答しているのに対し、クライアントの連絡先情報は機密であると回答した数は62%に過ぎず、残念なことに、クライアントのデータが機密であると言ったのはわずか63%でした。
80%の企業がクラウド企業が提供するセキュリティに依存しているだけです。
- 毎日手動でアクセスを監視する方法をとっているのが42%となっており、これは時間と労力がかかるだけでなく、人為的ミスが起こりやすい環境です。
- アドホックベースで3つ以上のモニターアクセスをとっているのが38%となっており、これは時間は短縮できますが、攻撃を逃したり、攻撃の発見が遅れる傾向があります。
- 9%はアクセスをまったく監視しておらず、攻撃が発生した場合に侵害の原因を特定することは非常に難しい状況です。
毎日ファイルアクセスを監視していない中小企業は、リソース、専門知識、情報、それを適切に行うための時間が足りていない傾向があります。
上記の理由を考えると、中小企業の半数近く(49%)がこういった状況でも不思議ではありません。現在のクラウドストレージ 企業が提供するセキュリティは、データを保護するのに十分とは言えない状況です。
クラウド内のデータを安全に保つために、より強力で効率的な方法が必要なのは明らかです。結局のところ、セキュリティ監査、コンプライアンス義務、政府の規制において、企業や組織はデータを安全に保管しなければならないため、クラウドへの移行は、ファイルデータへのアクセスと使用を保護する必要性を減少させるものではありません。
FileAudit がクラウド ストレージ のセキュリティを支援する方法
67%が、クラウドに保存されている機密データへの不正アクセスや不審なアクセスに関するアラート機能は非常に便利であると回答しています。
FileAudit は、ファイルやフォルダへのすべてのアクセスを事前に追跡、監査、レポートし、その発生した時点で、疑わしいファイルアクティビティを 担当者に警告します。従来、FileAuditはWindows Active Directoryベースのサーバー上のファイルとフォルダを監視しましたが、現在、FileAuditの監視機能はGoogleDrive、box、OneDrive、Dropboxまで拡張しています。
オンプレミスとクラウドストレージのハイブリッド環境のストレージを管理する場合、FileAuditを活用することで、一元化された管理画面から、すべてのストレージ、サーバー上のデータのセキュリティを確認することができます。
FileAuditを使用すると、委任を通じてファイルアクセスの監視を簡単にすることもでき、生産性とセキュリティの両方に役立ちます。IT担当者が、ユーザーがどのアクセスを必要としているか、またファイルの使用が適切か、といった詳細を確認するために毎回連絡を行うことは難しいです。
企業に積極的に関与している人々にファイルアクセスを管理する権限を委任することにより、管理者は「通常の」アクセスであれば、どのように見えるかという判断が可能となり、異常を迅速に発見することを容易にして負担を軽減します。