2023年版クラウド データ セキュリティ情勢

クラウド データ セキュリティ情勢レポート

パブリック クラウド環境に保管された130億件超のファイルを分析したところ、30%を超えるクラウド資産から機密データが検出されました。本レポートでは、現代のクラウド環境で機密データを取り扱う最善の方法を詳しく検討します。

本レポートは3部構成です:

パート1: 機密データはどこに存在するか。

クラウド環境にはデータの民主化というメリットがある反面、データの無秩序な増加も生じます。データの共有、複製、変換、そして放置が絶えず発生するため、セキュリティ侵害やコンプライアンス違反の原因になることが少なくないのです。機密データの44%は、従業員や顧客の情報が含まれるPIIです。本パートの要点は以下の通りです。

• データの保管先や含まれる機密情報の種類を把握しておらず、データを危険に晒す企業が多数を占めます。

• 攻撃者はサイバー防御の最も弱い部分を突いて開発環境に侵入します。

• 専門家によるリスク評価を実施しても、外部からのアクセス、ログの未取得、データ暗号化の未実施といった脅威に晒される機密データが残る可能性があります。

• 機密データの保管先を把握することで、リスク管理を簡略化しデータ セキュリティを強化できます。

パート2: 機密データに誰がアクセスできるか。

多様なロールに過剰なアクセス権を与えると、クラウド アカウント間の機密情報共有に関する重大リスクや意図しないデータ公開が発生しかねません。調査では、95%のプリンシパルに過剰な権限が付与されていました。本パートの要点は以下の通りです。

• 職務分離の考え方はクラウド環境では無視され、守られていません。管理者ロールから利用者アクセス権を取り除くことを推奨します。

• 過剰な権限に基づくアクセス許可が多数を占めますが、資産ごとに明示的な権限を付与するべきです。

• アカウント間の機密データ共有が、意図しないデータ公開に対する統制を弱め、リスクを悪化させます。複数アカウントへの機密データの公開を減らすべきです。

• 権限とRBAC(ロールベースのアクセス制御)はクラウド環境での保護手段としては不十分です。機密情報とそのすべてのアクセス経路を管理するため、追加のセキュリティ レイヤーが必要です。詳細はレポートの要約セクションをご覧ください。

パート3: 機密データはどこに向かうか。

セキュリティ インシデントが発生した場合には、適切な問いを立てることが重要です。すなわち、何が、いつ、誰に、どこから、どのように盗まれたかです。これらの問いに答えることが「誰が機密データにアクセスしているか」という最も重要な問いに答える前提となります。本パートの要点は以下の通りです。

• 多数のプリンシパルが機密データに日常的にアクセスしています。権限の過剰付与を可能な限り減らし、プリンシパルによる機密データ アクセスを継続的に監視することが、機密データ漏洩の削減に有効です。

• 監視のため、機密データ資産のロギングを有効化するべきです。

• データの移動はデータの複製と同義であり、データ漏洩のリスクを高めます。そのため、データの移動を最小限に抑える必要があるほか、送信先のセキュリティ対策も必要です。

• データの移動が内部のガバナンスと外部のコンプライアンス義務に違反しないよう徹底すべきです。

調査結果を確認し、現代のクラウド環境で機密データを扱う最善の方法について理解を深めるには、「2023年版クラウド データ セキュリティ情勢」レポートをご覧ください。