日本オラクルとKPMGコンサルティング、 クラウド・セキュリティに関する意識調査を公開

KPMGコンサルティング株式会社(本社:東京都千代田区、代表取締役社長兼CEO:宮原 正弘、以下、KPMGコンサルティング)と日本オラクル株式会社(本社:東京都港区、執行役 最高経営責任者:ケネス・ヨハンセン、以下、日本オラクル)は、オラクル・コーポレーションとKPMGが共同で公開したクラウド・セキュリティに関する意識調査レポート「Oracle and KPMG Cloud Threat Report 2020」を発表します。「Oracle and KPMG Cloud Threat Report 2020」は、日本、米国、カナダ、英国、フランス、オーストラリア、シンガポールの7カ国のサイバー・セキュリティおよびITの担当者750人を対象にクラウド利用におけるセキュリティの現状について調査したものです。本調査によると、日本を含む全世界でクラウドの利用が広がっており、より安全にクラウドを利用するためにデータ・セキュリティ対策が重視されていることが明らかになりました。また、企業はこれまでも様々なセキュリティ対策をとっていたもののその場しのぎのパッチワーク的アプローチであったため、クラウド利用を前提としたセキュリティ対策が求められていることがわかりました。リモートワーク環境に必要なクラウド・セキュリティ対策の適用状況を見ると、日本企業はネットワークベースのセキュリティに偏っていることが判明しました。

クラウドの利用は広まっているが、クラウドに対する理解は深まっていない

全世界で非常に多くの企業がパブリック・クラウドを利用していますが、クラウド・サービス・プロバイダーとのセキュリティに関する責任分解点については十分に理解していないことが明らかになりました。さらに、日本においては、クラウドへのデータ移行およびクラウド・セキュリティへの理解がグローバルより遅れていることがわかりました。

・グローバルおよび日本において、90%近い企業がSaaS(software-as-a-service)、80%近い企業がIaaS(infrastructure-as-a-service)を利用しています【図1】。さらに、グローバルにおいては49%の企業は、今後2年間で、半分以上のデータをクラウドに移行する予定と回答しています。一方、日本において、22%の企業のみが半分以上のデータをクラウドに移行する予定となっています【図2】。

・グローバルではIT担当者の75%が、自社データセンターよりもパブリック・クラウドのほうがセキュアであると考えており、この割合は年々増加しています。一方、日本においては、56%の企業にとどまっています。そのうち、自社データセンターよりもパブリック・クラウドのほうが十分にセキュアと考える企業は、グローバルと比較しても半数以下となっています。

・グローバルにおいて責任共有モデルについて完全に理解していると回答したITセキュリティ担当役員は8%にとどまっています。日本においては、完全に理解していると回答したITセキュリティ担当役員はいませんでした。

・グローバルでは、92%の企業はパブリック・クラウドを安全に利用するための準備が十分に整っていないと考えています。日本においても同様の傾向であり、86%の企業はクラウドを安全に利用するための準備が整っていないと考えています。

【図1】世界で進むクラウドの利用
【図1】世界で進むクラウドの利用
【図2】半分以上のデータを今後2年間でクラウドへ移行する
【図2】半分以上のデータを今後2年間でクラウドへ移行する

クラウドのセキュリティ対策において、データ・セキュリティ対策が重視されている

パブリック・クラウドの利用が広がっている一方で、クラウド・サービスを安全に利用するための準備が整っておらず、全世界でクラウド上のデータに関するセキュリティ対策が重視されていることがわかりました。

・グローバルのIT担当者の79%は、他の企業でデータ侵害が発生した場合には、自社でもデータ保護に対する関心が高まったと回答しています。日本企業でも、85%のIT担当者が同様の回答をしています。

・グローバルのIT担当者が多くの時間を割いている業務の上位3つは、サイバー・セキュリティ、データ保護、データ・セキュリティ・ガバナンスであることがわかりました。日本のIT担当者も同様の業務に多くの時間を割いている、と回答しています。

場当たり的に対応してきたこれまでのセキュリティ・アプローチ

セキュリティに対する取り組みとして、企業はこれまでパッチワークのように数多くの異なるサイバー・セキュリティ製品を組み合わせて利用してきました。その結果、サイバー・セキュリティ製品の設定が誤っているケースもあり、セキュリティ対策において苦戦を強いられています。

・グローバルの78%の企業は、セキュリティに対応するために51種類以上のサイバー・セキュリティ製品を利用しており、そのうち約半数の企業が101種類以上のサイバー・セキュリティ製品を利用しています。日本においても82%の企業が51種類以上、32%が101種類以上を利用しており、グローバルとほぼ同様の傾向となっています。

・グローバルでは、41%の企業がクラウド・セキュリティにおける最大の課題として、クラウドの設定を挙げています。日本においても、51%と高い割合で企業はクラウドの設定を課題としてあげています。

・グローバルの51%の企業は、クラウド・サービスの設定ミスが発生の結果、データ損失が発生しています。日本においても、42%の企業は、設定ミスの結果データ損失が発生しています。

今こそクラウド利用を前提としたセキュリティ・モデルの構築を

顕在化しているクラウド・セキュリティの課題を解決するには、企業はクラウド利用を前提としたセキュリティ対策に取り組む必要があります。そのためには、技術を有するITセキュリティ担当者の採用に加え、AIの活用、ますます拡大するデジタル世界の脅威に対応するためのプロセスおよびテクノロジーの絶え間ない向上が必要となります。

・およそ70%の企業は、CISOの対応が後手に回り、サイバーセキュリティ・インシデントが発生して初めてパブリック・クラウド・プロジェクトに関与するようになったと回答しています。このため、グローバルで73%、日本においても62%の企業が、クラウド・セキュリティのスキルを有するCISOを採用した、または採用する予定です【図3】。

・グローバルのIT担当者の88%、日本においては92%の企業が、セキュリティ強化のために、今後3年間でパッチ適用処理の自動化を実現する予定です【図4】。

・グローバルのIT担当者の87%、日本においては95%が、不正、マルウェア、設定ミスなどへの対策を強化するためには、AI/ML機能が今後のセキュリティ対策において「必須」機能であると考えています【図5】。

【図3】クラウド・セキュリティのスキルを有するCISOを採用した、または採用する予定
【図3】クラウド・セキュリティのスキルを有するCISOを採用した、または採用する予定
【図4】今後3年間でパッチ適用処理の自動化を採用する
【図4】今後3年間でパッチ適用処理の自動化を採用する
【図5】不正、マルウェア、設定ミスなどへの対策強化のため、今後3年でAIMLを活用
【図5】不正、マルウェア、設定ミスなどへの対策強化のため、今後3年でAIMLを活用

遅れる日本のリモートワーク環境向けセキュリティ対策

 ~ リモートワーク環境へのクラウド・セキュリティ対策の適用状況
リモートワークの利用拡大に伴い、これまで検討・実施されていたネットワーク・セキュリティによる境界防御型セキュリティから、内部も信頼できないものという前提に立ち、全てのアクセスを検査するゼロ・トラスト・セキュリティの考え方が重要になります。ゼロ・トラスト・セキュリティでは、「エンドポイント」、「IDアクセス管理」、「アプリケーション」、「データ」といった多層防御の考え方が必要となりますが、日本においては、境界防御に偏っていることがわかりました。特にIDアクセス管理とデータ・セキュリティ対策がグローバルより遅れているため対策が急務となっています。

●セキュリティ脅威検知において、日本企業はグローバルと比較すると、ネットワーク・セキュリティにより頼った対策となっています。グローバルでは、44%の企業がサイバー・セキュリティ脅威の検知においてネットワークベースの対策を実施しています。一方、日本企業は59%となっています。

●日本企業では、IDアクセス管理とデータ・セキュリティに関する設定ミスが多いことがわかりました。グローバルと日本で発見された事項でギャップが大きいTop3は過剰な権限の付与(日本 45%、グローバル 37%)や、セキュリティ・グループの設定誤り(日本 40%、グローバル 33%)、機密情報が暗号化されていない(日本 32%、グローバル 25%)になっています。

●日本企業においては、クラウド上のデータ管理不備により、グローバルより多くのデータ漏洩が発生しています。日本におけるTop3は、データに対する機密区分の設定誤り(日本 51%、グローバル 38%)、機密情報の外部委託先への誤った共有(日本43%、グローバル35%)、データ暗号化漏れ(日本37%、グローバル 30%)が発生していることがわかりました。

コメント

日本オラクル株式会社 常務執行役員 テクノロジー戦略統括 竹爪 慎治は、次のように述べています。「最近2年間に重要な情報のクラウドへの移行が進み、大きな将来性を示しています。一方で、セキュリティ・ツールとプロセスのパッチワーク的な活用は、しばしば高いコスト負担となる誤構成とデータ流出の発生の要因にもなっています。従業員のスキル・ギャップを解消するインテリジェントな自動化をベースとするツールの採用は、将来のための重要なIT投資の一つの方法です。また、海外に比べて日本では境界防御に偏った対策が行われているため、リモートワーク環境でも安心して利用できるデータを中心とした多層防御の対策が重要となります。オラクルでは、セキュリティ・ファーストで設計されたクラウド・プラットフォーム上で、機械学習、人工知能を活用した自律型のクラウド・サービスを展開し、セキュリティ運用の自動化・効率化、セキュリティの脅威のより迅速な検出を可能にし、企業のデータ・セキュリティを支援します。」

KPMGコンサルティング株式会社 テクノロジー・リスク・サービス 執行役員 パートナー 田口 篤は、次のように述べています。「世界ではクラウドファースト思想が常態化していく中で、日本企業が徐々に取り残されていく傾向が本調査では見受けられました。クラウド環境下では『責任共有モデルに基づく管理』というこれまでのオンプレミス環境とは異なる管理ポリシーを適用し、取り組んでいく必要がありますが、その点に関する理解が浸透していないことが原因の一端であると考えられます。
新型コロナウイルス感染症(COVID-19)がもたらしたニューノーマルのビジネススタイルにおいては、今後増々クラウドの優位性がクローズアップされてくることでしょう。クラウドについて正しく理解し、そのメリットを最大限に享受するための組織変革が日本企業にとって喫緊の課題です。」

参考リンク

●Oracle and KPMG Cloud Threat Report 2020:グローバル比較で見えてきたクラウド・セキュリティの現状と今後の対策
https://www.oracle.com/a/ocom/docs/cloud/oracle-kpmg-ctr2020-infographics-jp.pdf

●Download the Oracle and KPMG Cloud Threat Report 2020(英語)
https://www.oracle.com/cloud/cloud-threat-report/

●Oracle Cloud Security
https://www.oracle.com/jp/security/

●KPMG Cyber Security Services
https://home.kpmg/jp/ja/home/services/advisory/risk-consulting/cyber-security.html

調査方法

調査結果は、2019年12月16日から2020年1月16日にかけて北米(米国、カナダ)、西欧(英国、フランス)、アジア太平洋地域(オーストラリア、日本、シンガポール)の民間・公共分門のサイバー・セキュリティおよびIT担当者750人を対象にEnterprise Strategy Groupが実施した広範なオンライン調査によって収集されたものです。調査に応じた回答者は、サイバー・セキュリティ・テクノロジー製品およびサービスの評価、購入、管理を担当し、所属企業による公共クラウドの使用状況について習熟している必要があります。すべての回答者には、調査を完了するためのインセンティブが提供されました。

KPMGインターナショナルについて

KPMGは、監査、税務、アドバイザリーサービスを提供するプロフェッショナルファームのグローバルネットワークです。世界147ヵ国のメンバーファームに約219,000名のプロフェッショナルを擁し、サービスを提供しています。KPMGネットワークに属する独立した個々のメンバーファームは、スイスの組織体であるKPMG International Cooperative(“KPMG International”)に加盟しています。KPMGの各メンバーファームは法律上独立した別の組織体です。

KPMGコンサルティングについて

KPMGコンサルティングは、KPMGインターナショナルのメンバーファームとして、ビジネストランスフォーメーション(事業変革)、テクノロジー、リスク&コンプライアンスの3分野でサービスを提供するコンサルティングファームです。戦略、BPR、人事・組織、PMO、アウトソーシング、ガバナンス・リスク・コンプライアンス、ITなどの専門知識と豊富な経験を持つコンサルタントが在籍し、金融、保険、製造、自動車、製薬・ヘルスケア、エネルギー、情報通信・メディア、サービス、パブリックセクターなどのインダストリーに対し、幅広いコンサルティングサービスを提供しています。

日本オラクルについて

人々が、新たな方法でデータを捉え、知見を導き出し、無限の可能性を得ることをミッションにしています。データ・ドリブンなアプローチにより情報価値を最大化するクラウド・サービス、それらの利用を支援する各種サービスを提供しています。オラクル・コーポレーションの日本法人。2000年に東証一部上場(証券コード:4716)。
URL: https://www.oracle.com/jp

オラクルについて

Oracle Cloudは、セールス、サービス、マーケティング、人事、経理・財務、製造などを網羅する広範なアプリケーション群、「Oracle Autonomous Database」に代表される、高度に自動化され、高いセキュリティを備えた第2世代インフラストラクチャを提供しています。オラクル(NYSE:ORCL)に関するより詳細な情報については、 https://www.oracle.com をご覧ください。

* OracleとJavaは、Oracle Corporation 及びその子会社、関連会社の米国及びその他の国における登録商標です。文中の社名、商品名等は各社の商標または登録商標である場合があります。本文書は情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。