セキュリティの現状:プロは日々のクラウドセキュリティの課題にどう対処しているか

2021年8月4日
Vectra AIセキュリティ研究チーム
サイバーセキュリティ
セキュリティの現状:プロは日々のクラウドセキュリティの課題にどう対処しているか
AWSの統計:クラウドセキュリティ侵害の99%は、顧客のミスが根源である

2025年まで、クラウド、セキュリティ侵害の99%は顧客の設定ミスやミスが根本的な原因になるだろうとガートナーが述べているのを聞くと、専門家やアナリストが知っていて、顧客が知らないことは何だろうと考えざるを得ない。セキュリティ・チームは、ランサムウェア、サプライ・チェーン攻撃、アカウント乗っ取りなど、今日のサイバー脅威を確かに認識している。組織は、多要素認証(MFA)に加え、適切なエンドポイント・セキュリティと境界セキュリティをすべて導入することで、攻撃者の生活を困難にするために必要な措置を講じることに熱心だ。

このアプローチには1つだけ問題がある。これらのツールはどれも、クラウドで起こることの安全確保には役立たないし、どれも予防中心なのだ。そして、それらはすべて予防中心である。MFAが提供する追加的な対策でさえ、サイバー犯罪者によって定期的に回避されている(誤解しないでほしいが、組織はMFAを使用すべきだが、特効薬はない)。

IaaS と PaaS 環境のセキュリティをどのように確保しているかについての洞察を深めるため、私たちは最近、Amazon Web Services (AWS) クラウドのセキュリティ確保に日々取り組んでいる数百人のセキュリティ専門家を対象に調査を実施しました。調査結果は「セキュリティの現状レポート」でご覧いただけます:ここでは、CISO、セキュリティアーキテクト、DevSecOpsが、それぞれの組織がどのようにAWSデプロイのセキュリティに取り組んでいるかについて、経験と洞察を共有しています。

クラウド環境のセキュリティを確保する際に組織が直面する優先事項や課題の多くを説明するのに役立つ重要な要点がいくつかありますので、無料レポートをダウンロードしてください。ハイライトは以下の通り:

クラウドを安全に設定することは依然として課題である。

Platform as a Service (PaaS)とInfrastructure as a Service (IaaS)は、ITチームが今日の常時接続ビジネスに対応するソリューションとしてクラウドネイティブアーキテクチャに向かう中、DevOpsエンジニアにとって基礎となってきた。しかし、サービスがクラウドに移行すると可視性が失われるため、漏洩したアカウントや役割、設定ミスの悪用が見えなくなり、リスクが増大する。この調査では、驚くほど多くの回答組織が正式なデプロイメント・サインオフを実施していないことが判明した。

AWSの統計:30%の組織では本番環境へのプッシュ前に正式なデプロイのサインオフが行われておらず、40%の組織ではDevSecpsのワークフローが行われていない。

企業はセキュリティに多額の投資をしている

DevSecOpsの台頭により、組織がセキュリティを優先し続けていることは間違いない。調査対象の半数以上が、セキュリティ・オペレーション・センター(SOC)に10人以上の従業員を抱えている。また、セキュリティ担当者とDevOps担当者の両方が、それぞれの役割においてプロアクティブで予防的な方法を模索していることがわかりました。

各チームはカバー範囲の拡大を求めている

レポートでは、組織はAWSの3つの基本的なサービス以上のカバレッジを求めているという意見が表明されている。事実、調査結果によると、71%が 、現在利用しているクラウドサービスプロバイダーが提供している以上のものをカバーするソリューションが必要だと回答している。

これらは調査結果のほんの一部である。セキュリティの現状」レポートの全文をダウンロードする:PaaS & IaaS-More people, More access, More at Stake(PaaSとIaaS-より多くの人、より多くのアクセス、より多くのリスク)で詳細をご覧ください。  

AWS環境に対する脅威を確認し、阻止したい場合は、こちらからデモを入手してください!

よくあるご質問(FAQ)