製品とサービス 製品とサービス

SMB におけるクラウドセキュリティの現状 2022 年版

中堅・中小企業 (SMB) の IT 担当者 4,986 名に対するクラウドセキュリティに関する調査結果が明らかになりました。

** 本記事は、The Reality of SMB Cloud Security in 2022 の翻訳です。最新の情報は英語記事をご覧ください。**

多くの中小企業がオンプレミスのリソースが段階的にクラウドに移行しており、現在、その多くがハイブリッド環境を運用しています。

ソフォスは、中小企業におけるクラウドセキュリティの実態を把握するため、サービスとしてのインフラストラクチャ (IaaS: Infrastructure as a Service) を利用している 31 カ国の IT プロフェッショナル 4,984 人を対象に調査を依頼しました。この調査は独立系の大手調査機関である Vanson Bourne が実施しました。

この調査結果によって、中小企業のクラウド環境の保護には大きなギャップが存在し、改善の余地があることが浮き彫りになりました。また、強力なクラウド対策が、組織のサイバー脅威への対策に現実的な利益をもたらすことも実証されました。

サイバー攻撃の標的として拡大するクラウド

クラウドの利用が増加するにつれて、サイバー犯罪者からの注目度も高まっています。今回の調査では、IaaS ユーザーがこの 1 年間に経験したサイバー攻撃に、以下のように大きな変化があったことが明らかになりました。

  • 56% のユーザーが、組織に対する攻撃の量が増加したと回答した。
  • 59% のユーザーが、組織に対する攻撃がより複雑になっていると回答した。
  • 53% のユーザーが、組織に対する攻撃の影響が増加したと回答した。
  • 67% のユーザーが、自社がランサムウェアの被害を受けたと回答した。

クラウドを利用する組織が直面する課題が急速に増加していることは明らかです。

脅威の影響を軽減するクラウド保護のベストプラクティス

IaaS を運用しているスキルの高い上級ユーザーは、初級ユーザーに比べて、過去 1 年間で攻撃の量、複雑さ、影響が減少したと報告する割合が 2 倍になっていることは良いニュースです。例を挙げると、上級ユーザーの 38% が過去 1 年間で攻撃の影響が減少したと報告していますが、攻撃の影響が減少したと報告している初級ユーザーは 19% にとどまっています。

攻撃の量、複雑さ、影響に関して、組織のサイバー攻撃に関する経験はこの 1 年間でどのように変化しましたか? (IaaS のユーザーと定義される回答者 4,984 名を対象に調査)

またこのデータから、クラウドに関するスキルの高い上級ユーザーは、攻撃の量、複雑さ、影響が増加していないと回答している割合が多いことが明らかになりました。たとえば、初級ユーザーの 61% が攻撃の影響が増加したと報告したのに対し、上級ユーザーでは 43% にとどまりました。

攻撃対象領域の弱点が明らかに

リソースの設定ミスやパッチ未適用の脆弱性によって、ランサムウェアやその他の攻撃者が環境に入り込んで攻撃を実行するための入口が、開いたままになってしまうことがあります。

残念ながら、ほとんどの中小企業の攻撃対象領域が大きなリスクにさらされています。IaaS のリソースの設定ミスを追跡・検出していると回答した調査回答者は、わずか 37% でした。さらに、IaaS のリソースのソフトウェア脆弱性を定期的にスキャンしていると回答したのは半数以下 (47%) にとどまりました。

クラウドのリソースと設定に無頓着な IT チームが多い

攻撃者は通常、盗んだ認証情報とアクセスデータを悪用して、アカウントのセキュリティを侵害します。いったん組織内に侵入してしまえば、権限を昇格させ、組織のインフラを横断的に移動して攻撃を実行することが容易になることが多くあります。

効果的なクラウドセキュリティ戦略の重要な要素は、すべてのリソースとその設定を可視化し、侵害をすばやく発見して対策を講じることです。

しかし今回の調査では、3 人に 2 人のクラウドユーザーにとって、この点が大きなセキュリティギャップになっていることが明らかになりました。興味深いことに (そして懸念すべきことに)、クラウドの経験レベルによる差はほとんどありません。スキルレベルが初級および中級の IaaS ユーザーの 34% が、IaaS 内のすべてのリソースとその設定を可視化しており、上級ユーザーでもわずか37%にとどまっています。これは、組織がクラウドの防御を強化できる明確な領域と言えます。

IaaS のすべてのリソースとその構成を可視化していると答えた回答者の割合

24 時間 365 日体制の脅威の検知と対応能力

正規の IT ツールやパッチが適用されていない脆弱性を攻撃者が悪用して、保護ソリューションによる検出を回避するケースが増えているため、すべての脅威を自動的に防止できるわけではないのが実状です。現在の最も高度な攻撃を阻止するためには、テクノロジーとアナリストの専門知識を組み合わせる必要があります。

攻撃者は昼夜を問わず攻撃を行うため、脅威の検知と対応は 24 時間 365 日体制で行われます。しかし今回の調査では、24 時間体制で活動する攻撃者を追い詰め、無力化するために必要なリソースを備えている組織はごくわずかであることが明らかになりました。

実際、IaaS ユーザーの 3 人に 1 人 (33%) しか、IaaS の脅威を継続的に検出、調査、除去するためのリソースを持っていないと回答しています。また、IaaS のセキュリティインシデントに 24 時間 365 日体制で対応できるプロセスを備えているのは 4 人に 1 人 (40%) で、IaaS の中級・上級ユーザーは初心者よりもやや優位な立場にあります。

IaaS のセキュリティインシデントに 24 時間 365 日対応するためのプロセスを組織で整備していると回答した割合

防御側の組織が直面する課題が増え続ける中、多くの組織が MDR (Managed Detection and Response) サービスに注目しており、ガートナーは 2025 年までに全体の 50% の組織が MDR を利用すると予測しています*。

クラウドリソースへのアクセスの保護

オンプレミスのリソースへのアクセスを保護するためのファイアウォールの役割については十分に理解が進んでいます。クラウドのセキュリティを確保する場合にも、ハードウェアファイアウォールと同じ原則を仮想ファイアウォールに適用する必要があります。

従来のファイアウォールと仮想ファイアウォールの類似性を考えると、この調査によって、強力な防御を実施している組織が全体の半数以下であると明らかになったのは驚くべきことかもしれません。IaaS の保護に IPS を導入している組織はわずか 40%、Web 向けのアプリケーションと API の保護に WAF を使用している組織はわずか 44%でした。

興味深いことに、この分野では、初級者や中級者よりも上級者の方がベストプラクティスの導入率が非常に高いと報告されています。IaaS 上級ユーザーの約半数 (49%) が IPS を導入しているのに対し、初級ユーザーは 34% にとどまりました。また、上級ユーザーの 53% が WAF を導入してクラウドベースのリソースを保護しているのに対し、IaaS の初級ユーザーは 40% にとどまっています。

IaaS を既知の脅威から保護するために IPS を導入していると回答した人の割合
Web アプリケーションファイアウォール (WAF) を使用して、Web ベースのアプリケーションと API を保護していると回答した人の割合

まとめ

クラウドの利用が多くの企業にとって継続的な移行プロセスであるのと同様に、クラウドセキュリティもまた変化しています。その原則の多くは、従来のオンプレミスのセキュリティと同じですが、クラウドの利用方法と脅威リスクの違いを反映させるためにセキュリティ対策も調整しなければなりません。

この調査で明らかになったセキュリティギャップに対処することで、中小規模の組織は防御力を高め、大規模なクラウドセキュリティインシデントに遭遇するリスクを最小化することができます。

ソフォスのサポート

ソフォスは、AWS、Azure、Google Cloud (GCP)、Oracle など、すべての主要なクラウドプロバイダーと連携している、グローバルなクラウドセキュリティのスペシャリストです。現在、ソフォスは世界中で 53 万以上の組織を保護しており、エンドポイントセキュリティとネットワークセキュリティの両方で Gartner Peer Insights Customers’ Choice に選ばれた唯一のベンダーであることを誇りに思っています**。 ソフォスのクラウドセキュリティソリューションは以下の通りです。

  • Sophos Cloud Native Security (CNS) は、クラウドセキュリティを完全にカバーし、オンプレミスからシングルおよびマルチクラウド、Windows から Linux まで、すべてのサービスを保護します。
  • Sophos Firewall は、強力なネットワーク可視化、保護、応答を提供し、パブリック、プライベート、ハイブリッドクラウド環境のセキュリティを確保します。Azure と AWS の両方にあらかじめ設定された仮想マシンを使用することで、迅速に運用を開始することができます。
  • Sophos MDRは 、市場をリードする 24 時間 365 日対応の MDR (Managed Detection and Response) サービスです。クラウドプロバイダーのテレメトリなど、お客様が既に導入されているツールを使用して、高度で人為的な攻撃を特定し、お客様のビジネスに影響を与える前に阻止します。

ソフォスのソリューションの詳細と試用版については、ソフォスアドバイザーにお問い合わせいただくか、https://www.sophos.com/ja-jp をご覧ください。

 

 

* Gartner Market Guide for Managed Detection and Response 2021

**Gartner Peer Insightsのコンテンツは、当プラットフォームに掲載されているベンダーに関するエンドユーザー個人の経験に基づく意見であり、事実の記述として解釈されるべきではなく、Gartner またはその関連会社の見解を示すものでもありません。Gartner は、このコンテンツに掲載されているいかなるベンダー、製品またはサービスも推奨するものではなく、このコンテンツに関して、明示または黙示を問わず、商品性や特定目的への適合性を含め、その正確性や完全性についていかなる保証も行うものではありません。Gartner Peer Insights Customers’ Choice は、個々のエンドユーザーのレビュー、レーティング、および実証メソドロジー(documented methodology)により抽出されたデータが主観的な意見として集約されたものであり、Gartner またはその関連会社による見解あるいは推薦を表すものではありません。