Embed Size (px)
Citation preview
レポート
クラウドの安全性の状況と実用的ガイダンス
クラウド環境の現状レポートと今後
2
目次
今後のクラウド環境
3 まえがき
4 主要調査結果
5 はじめに
6 調査結果から言える方向性
6 パブリック クラウドとプライべート クラウドの組み合わせがもっとも一般的な構成
8 コンテナーとサーバーレス コンピューティング向けセキュリティ対策
9 IaaS ワークロードの多様性
9 クラウドへの移行とクラウド ネイティブ アプリケーション
9 クラウド ファースト戦略を大半の組織が採用
10 パブリック クラウドでの機密データの保管
11 リスクよりメリットが大きいクラウド利用
12 課題への対応
12 データの盗難
13 GDPRによる不確かな見通し
13 IaaSのセキュリティ問題と現実
15 SaaSのセキュリティ問題と現実
16 プライベート クラウドのセキュリティ問題と現実
18 シャドーITとの共存
19 クラウド アプリのマルウェア
19 変化への対応力
20 スキル不足の解消
21 より速く、より安全に
21 クラウド ファーストの効果
22 DevOpsとDevSecOpsの利用
22 考慮すべき点:安全なクラウドの採用で事業を加速
24 付録:メソドロジーと調査対象層
3 今後のクラウド環境
レポート
まえがき時代はクラウドに移行しつつあります。この傾向はこれまでのレポートで繰り返し報告されているだけでなく、この数年のほとんどの業界調査でも現実のものとなっています。当社のクラウドに関する最初の調査では、多くの組織が、16か月以内に80%のインフラストラクチャをクラウドに移行する、と回答しました。本年度の調査では、クラウドの採用を早める組織と、採用に慎重になっている組織にはっきりと分かれました。クラウドファースト戦略を採用する組織が、前年度の82%から、本年度は65%へ減少していることからも、この傾向が明確に伺えます。
大局的に見ると、クラウドファースト戦略を採用する組織は12か月以内にIT予算の80%をクラウドに向ける計画であり、クラウドファーストではない組織はその期間が18か月となっています。 クラウドの採用には地理的要因が影響すると言われることがあります。このようなステレオタイプはわかりやすい論点である一方、実際はサードパーティのクラウド プロバイダーへ移行する際の課題に取り組むため、世界の様々な組織が投資を行い戦略を定めています。クラウドのリスクがわかっていても、その採用には影響していないようです。例えば調査対象の56%が、クラウド アプリケーションを原因としたマルウェアへの感染を経験しています (2016年度は52%)。このようなリスクがあっても、クラウド採用の勢いはそがれていません。この傾向は継続するだけでなく、今後さらに増えていくと予想されています。セキュリティを考慮した安全なアプローチをとり、それに見合った予算が組まれています。
本年度の調査では、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に昨年より慎重なアプローチをしている組織が多いことがわかりました。ここでは「慎重なアプローチ」と言いましたが、競合他社からは「あの組織は取り残されている」と言われるかもしれません。
Raj Samani (マカフィー チーフ サイエンティスト)
Twitter@Raj_Samani
4 今後のクラウド環境
レポート
主要調査結果1
97% の組織がクラウド サービス(パブリック、プライベート、またはその組み合わせ)を利用。前年度の93%から増加。
65% がクラウド ファースト戦略を採用。前年度の82%から減少。
83% が機密データをパブリック クラウドに保管。
69% が、パブリック クラウドで機密データを安全に保管できると信用。
4人中1人 が、パブリック クラウド上のデータの盗難を経験。(SaaSおよびIaaSの両方で判明)。
5人中1人 が、自社パブリック クラウド インフラに対する高度なサイバー攻撃を経験。
40% のIT部門リーダーは、サイバーセキュリティのスキル不足のためにクラウドの採用を遅らせている。
2倍 DevSecOpsを用いている組織では、コンテナーやサーバーレス コンピューティングのセキュリティ確保のための戦略を持つ確率が2倍。
27% のITセキュリティ予算がクラウドのセキュリティに費やされており、12か月後には37%に達すると推定される。
10%以下 の組織が、EU一般データ保護規則 (GDPR) によってクラウドへの投資が減少すると予測。
1メソドロジーおよび調査対象層については付録をご覧ください。
5 今後のクラウド環境
レポート
マカフィーとの連携
視界が悪い中での航海は困難なので、道具の助けや専門知識がなければ、慣れた環境や見通しの良い環境から旅立つ決心はなかなかできません。コンピューティング、ストレージ、資産保護はあらゆる産業でクラウドに移行しつつあり、IT担当者は将来の予測に自信が持てなくなっています。自己のツールや専門知識を信じて不透明なクラウド環境に大胆に乗り出す組織もあれば、新しい環境での不確かさと不透明さのため、クラウドへの移行を遅らせたり既存の環境に留まったりする組織もあります。
はじめに
クラウドサービスはほとんどの企業で使われています。調査対象となった全世界のIT担当者のうち97%がクラウドを使っていると回答しており、前年度の93%から増加しています。さらに詳しく調べるため本調査では、利用しているクラウドサービスのタイプ、それを適用しているオペレーション プロセスの性質、実際に発生した問題について質問しました。IaaS (Infrastructure-as-a-Service)またはSaaS (Software-as-a-Service)を利用している組織のうち、4社中1社がデータの盗難、また5社中1社がパブリック クラウドへの高度なサイバー攻撃の被害を受けた経験があると回答しました。また、セキュリティはクラウド オペレーションの基礎となるものであるため、セキュリティ予算計画について質問し、様々なクラウド採用戦略がセキュリティ投資にどのような影響を与えているかを評価しました。最後に、EU 一般データ保護規則 (GDPR) への対応が進められているため、この新規則によって今後のクラウド採用に起こりうる影響とそれに対する調整について、IT情報セキュリティの担当幹部に質問しました。
本調査は、現在のクラウド サービスの利用状況を分類し、短期投資を確認し、変化の速度を予測し、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。実用的なガイダンスを示すことが、本年度のレポートの主要目的です。本調査では世界各国1,400人のIT部門の意思決定者にアンケートをとり、また最高経営幹部に調査結果に対する個人的な意見を聞いてさらなる洞察を得ました。
6 今後のクラウド環境
レポート
調査結果から言える方向性目的地に到達するには、自分がどこから、どこへ行こうとしていて、その間にはどのような障害物があるのかを知らなければなりません。現在、ほぼすべての組織でクラウドが採用されています。自己申告されたクラウド サービス平均利用数は前年から微増して、組織あたりで29から31に増加しました。利用されているサービス数は組織が大きいほど増える傾向があり、従業員1,000名以下の組織では平均25で、5,000名以上 では40でした。クラウド サービスを最も多く利用していたのは、国別では日本とアメリカで、産業別では金融サービス業界でした。一番利用が少なかったのは、国別ではイギリスで、産業別では政府および教育機関でした。
1-10 11-20 21-30 31-40 41-60 61-80 80以上
パブリック クラウド サービス推定数
回答
者の
割合
18%
22% 21%
17%
13%
7%
2%
図1.現在利用しているパブリック クラウド サービス (IaaS、SaaS、PaaS) 数を教えてください。
パブリック クラウドとプライべート クラウドの組み合わせが一般的構成本調査では、回答者に以下の3つのクラウド アーキテクチャのうちどれを使用しているかを質問しました (複数回答不可)。■ プライベート クラウドのみ (シングル テナント クラウド)■ パブリック クラウドのみ (SaaS、IaaS、またはPaaS)■ ハイブリッド (パブリック クラウドとプライベート クラウドの組み合わせ)
7 今後のクラウド環境
レポート
次に、利用しているクラウドサービスの種類を以下の3つから選んでもらいました (複数回答可)。
■ Software-as-a-Service (SaaS)。例えば、Salesforce、Box、 Office 365など。
■ Infrastructure-as-a-Service(IaaS)。例えばAmazon Web Services、Microsoft Azureなど。
■ Platform-as-a-Service (PaaS)。例えば、Google App Engine、Red Hat OpenShift、Force.com、AWS PaaS、Azure PaaSなど。
プライベート クラウドのみからハイブリッドへのシフトは2015年から急増して定着化したようで、本年度は59%がハイブリッド モデルを採用していると回答しました (2016年の57%から増加)。プライベート クラウドのみという回答の割合はどの組織規模でもほぼ同じですが、ハイブリッド モデルの利用は組織が大きくなるほど増える傾向にあり、従業員1,000名以下の組織では54%、5,000名以上では65%でした。パブリック クラウドのみという回答は従業員1,000名以下の組織では23%、5,000名以上では13%でした。
プライベート ハイブリッド パブリック
2015*
2016
2017 23% 59%
回答者の割合
24% 19%
19%
57%
51% 19% 30%
図2.現在どのタイプのクラウド アーキテクチャを利用していますか?(年毎に集計)
*2015年は、「以下のどのタイプのクラウドが何%を占めていますか?」という少々違った質問の仕方をしており、またSaaSのみという回答は除外していました。
従業員501 名~1,000名 24% 54% 23%
従業員1,001名~5,000名 23% 58% 19%
従業員5,000名以上 21% 65% 13%
プライベート ハイブリッド パブリック 回答者の割合
図3.現在どのタイプのクラウド アーキテクチャを利用していますか?(組織規模毎に集計)
産業毎にみると、プライベートのみは政府、ハイブリッドはテレコム、パブリックのみは製造および教育で一番多くなっています。政府が継続してプライベート クラウドを最も重用しているのは当然です。公的機関では、規制および国境を超えた機密データの保管の問題に加えて、調達や予算の問題もクラウドの採用に影響します。多くの政府では複数年のサービス契約には制限があり、毎年サービスを更新するという望ましくない形態をとらなければならないことがあります。また毎年実施される政府予算プロセスでは、物理的なサーバー ハードウェアといった資産のサポート費用のほうが、クラウドサービスなどの運営コストより正当化しやすいのです。
製造業は長期間使用する様々な工業用制御システムが入り混じっているという興味深い形態をしており、古いバージョンのWindowsを使用している一方で最新の物流および顧客インターフェースを使用しているという場合があります。製造業の成功は大抵、グローバル サプライチェーンや顧客・サプライヤーとの詳細にわたった電子取引にかかっていますので、この業界でパブリック クラウド サービスが多く利用されているのは当然のことです。
8 今後のクラウド環境
レポート
ある大手企業のチーフ インフォメーション セキュリティ オフィサー (CISO) への聞き取り調査では、2013年から必要に迫られて完全にパブリック クラウドへ移行してデータセンターからの完全脱却を図った、というお話を聞きました。クラウド サービスでは自分のビジネスモデルに必要となるプロジェクト毎の柔軟性が得られ、プロジェクト毎、部門毎、またパートナーの要求に応じて様々なサービスタイプを利用できます。
ある健康食品会社はハイブリッド クラウドを用いており、そのチーフ テクノロジー オフィサー (CTO) は、それを「クラウド最適」だと表現しました。この企業ではほとんどがクラウドで運用されていますが、アプリケーションとデータ次第でクラウド適用可否を判断しています。
コンテナーとサーバーレス コンピューティング向けセキュリティ対策コンテナー (例:Docker、Lynx) およびサーバーレス コンピューティングはここ数年で急成長し、調査対象のうち約80%が使用または試用していると回答しました。しかしコンテナーへのセキュリティ戦略を持つ組織は66%、またサーバーレス コンピューティングへのセキュリティ戦略を持つ組織は65%にとどまりました。回答者のほとんどはセキュリティが欠如していることを認識しており、来年にはセキュリティ戦略を立てる計画をしています。IT以外の部門は、コンテナーやサーバーレスに対するセキュリティをほとんど準備していません。
クラウド プロバイダーが配備する共同責任モデル、ネイティブ コントロール、そしてプロダクション ワークロードとデータ ストアの相互接続性を評価することで、安全なコンテナーおよびサーバーレス イニシアチブの基礎を構築する助けとなります。
回答者の割合 IT部門とIT部門外で利用
IT部門外で利用
回答者の割合
73% 70%66% 65%
53%48%
コンテナーのセキュリティ サーバーレスのセキュリティ
図4.コンテナー向けのセキュリティ戦略をお持ちですか?サーバーレス コンピューティングではどうですか?(部門オーナーシップ毎に集計)
9 今後のクラウド環境
レポート
IaaS ワークロードの多様性 組織がIaaSインスタンスで実行しているワークロードは多種多様です。回答者の半数以上が、一般ビジネス アプリケーション、クラウド ネイティブ アプリケーション、e-ビジネス サイト、ミッション クリティカルな企業アプリケーションをIaaSで運用、さらに、ほぼ半数がIaaSで開発環境を運用しており、また3分の1がIaaSでIoTアプリケーションを使用しています。そしてそのほとんどが3-4種類のワークロードを実行しています。
e-ビジネス
企業アプリケーション
開発環境
IoTアプリケーション
データ分析
33%
クラウド ネイティブアプリケーション
45%
一般ビジネス アプリケーション
53%
58%
60%
65%
69%
回答者の割合
図5.IaaSクラウド サービス (例:Amazon Web Services、 Microsoft Azure等) でどのようなワークロードを実行していますか?
クラウドへの移行とクラウド ネイティブ アプリケーションIaaSの適用には主要な方法が2つあります。1つはクラウド ネイティブ アプリケーションを開発する方法と、もう1つは既存のオンプレミス ワークロードをクラウドに移行するリフト&シフトと呼ばれる方法です。調査では約半分 (46%) がこの2つの方法のミックスを、37%がオンプレミスからクラウドへのリフト&シフトをしていました。クラウド ネイティブ なアプローチのみを取っているのはわずか17%でした。
クラウド ネイティブ アプリケーションを開発
両方
既存のオンプレミスワークロードをクラウドに移行
46%
37%
17%
回答者の割合
図6.IaaS利用の主要なアプローチ方法は何ですか?
クラウド ファースト戦略 を大半の組織が採用世界の大半の組織では依然としてクラウド化の戦略をとっていますが、本調査ではクラウド ファースト アプローチをとっている組織は2016年の82%から減少して、2017年は65%になりました。この変化は、試行期間を経て組織にとって最適な形態が見つかり、ITが成熟したことから起こったと考えられます。
クラウド ファースト戦略を持っている組織は持たない組織と比べて、より多くのクラウド サービスを利用しており、DropboxやOffice 365といったクラウド アプリケーションのコンテンツによってマルウェアの被害にあう確率は2倍、また本調査の
10 今後のクラウド環境
レポート
質問にあげられたIaaSおよびSaaS関連の問題 (詳細は以下) をすべて経験する可能性が高くなっています。それでも本回答者は、パブリック クラウドはプライベート クラウドより安全だと信じています。より深く知れば知るほど、IT担当者はクラウド ファーストが進むべき道だと自信を持つ傾向があります。
セキュリティ共同責任モデルは、この自信を確信へと変えています。大手エンターテイメント会社のCISOは、クラウド プロバイダーとの共同責任負担について、「私たちのセキュリティ侵害は彼らのセキュリティ侵害であり、その逆もまた真なのです」と述べていました。両者はクラウド資産の安全確保という共同目的を持っているのです。
パブリック クラウドでの機密データの保管大半の組織では機密データの一部または全部をパブリック クラウドに保管しており、クラウドに機密データの保管はしていないと回答したのはわずか16%で、この割合は前年と同じでした。医療とエンジニアリング系組織では90%以上がパブリック クラウドにデータを保管しており、保険や公益事業組織では70%強と、少ない割合でした。国別で見ると、欧州と日本でパブリック クラウド ストレージの利用率がもっとも低くなっています。
保管されたデータの機密性は様々です。顧客の個人情報の保管が最も多く、61%の組織で利用されています。調査対象のうち40%は、社内文書、支払いカード情報、従業員データ、政府発行ID情報のうちのいずれかまたは複数を保管しています。そして約30%が知的財産、健康保険記録、競合他社情報、およびネットワーク パスワードをクラウドに保管しています。クラウド上での機密情報保管のリスクを管理するには、保管
すべて可 一部可 すべて否
合計
アメリカ
25% 58% 16%
カナダ
ブラジル
メキシコ
フランス
ドイツ
インド
オーストラリア
シンガポール
日本
イギリス
回答者の割合
33% 52% 15%
29% 56% 15%
33% 51% 14%
32% 61% 7%
10% 62% 25%
23% 63% 14%
14% 61% 25%
32% 64% 3%
21% 59% 20%
12% 75% 11%
29% 45% 24%
図7.パブリック クラウド サービスに組織の重要なデータを保管していますか?
されたデータと、ネットワーク間を移動するデータの両方について、何よりもまず可視性を確保することが必要です。資産の確認、分類、報告義務を部門や従業員に徹底させるといった、基本的なガバナンスおよび技術的プロセスをしっかりと行うことで見える化が進みます。クラウド アクセス セキュリティ ブローカーの利用、マニュアルまたは自動でのデータの分類、またその他の技術的プロセスなどを含む、データ漏洩防止のためのクラウド プロバイダーとの統合を行うことにより、クラウド サービスを通して機密データが漏洩するリスクを低減できます。
11 今後のクラウド環境
レポート
政府発行ID情報
独占的所有権のある企業文書や知的財産
ネットワーク パスワード
自社で収集した競合他社情報、市場情報、その他の専門家の知見
健康保険記録
27%
銀行口座情報や従業員記録などの従業員データ
28%
支払いカード情報
取締役会議事録、機密会議議事録、その他の社内機密情報などの社内文書
氏名、住所、その他個人情報の入った顧客リストなどの顧客個人情報
33%
34%
37%
41%
41%
42%
61%
回答者の割合
図8.組織のパブリック クラウド サービスで保存している機密データの種類を教えてください。
本調査で聞き取りをした最高経営幹部の一人は、最も大きな脅威は組織内のスタッフの意図的または偶発的行為です、とコメントしました。この組織では、機密データの保管を管理下にあるデバイスのみに制限し、行動分析を利用して活動監視をし、クラウドでのセキュリティ違反に迅速に対応するための計画を立案することで、このリスクを管理しています。
また他の幹部からは、データ ガバナンス モデルを確立してクラウド上のデータへの第三者のアクセスを減らした、というコメントがありました。この組織では顧客から直接注文を受けて配達を行っていますが、機密な個人情報は営業担当者やその他の仲介者からは見られないようにして、意図的および偶発的データ漏洩のリスクを大幅に減らしています。
リスクより大きいクラウドの利点様々なセキュリティ インシデントが報道されていますが、本調査では90%以上の回答者が、昨年よりもクラウドを信頼していることがわかりました。これはクラウド セキュリティに対する考え方が変化して、共同安全責任の利点が実感され始めたことが理由かもしれません。データがクラウドにあるからといって利用者の責任が減るわけではありませんが、ロジカルに役割が分担され、クラウド プロバイダーはクラウドのセキュリティを、利用者はクラウド内のコンテンツを運用する役割を持ちます。このモデルでは、クラウド サービス プロバイダーの豊富なスキルセット、資本、労働力を、ユーザーやデータセットについての利用者の知識が補完しています。クラウド サービス プロバイダーはネイティブ セキュリティやセキュリティ技術のためのサードパーティ統合に継続的に投資しており、両者が責任を果たすための能力向上をはかっています。
パブリック クラウド サービスがいたるところで提供されるようになるにつれ、IT担当者はその利点を当たり前のものとして受け入れるようになってきました。一般的に、プライベート クラウドよりパブリック クラウドのほうが、TCO低減、データの可視性、実績ある技術の利用といった恩恵を多く受けられます。パブリック クラウドとプライベート クラウドのどちらでより安全にデータを保護できるかという質問への回答はほぼ半分に分かれました。回答者は、セキュリティ侵害からの保護や、IDやアクセス コントロールの維持が、プライベート クラウドの最大の利点であると回答しています。
12 今後のクラウド環境
レポート
パブリック クラウドで実現可能パブリックでもプライベートでも同じプライベート クラウドで実現可能
組織のデータの可視性
実績ある技術の利用
自社データの安全
IDやアクセス コントロールの維持
侵入と違反からの保護
TCO削減
回答者の割合
37%
37%
41%
20%
22%
42%16%
45% 26%27%
45% 32%23%
54% 24%21%
42%
41%
図9.これらの利点はパブリック クラウドまたはプライベート クラウドのどちらから得られると考えますか?
課題への対応方向性が決定したら、次のステップは、データの盗難、規制の変更、シャドーITなどといった、クラウド移行への障害を確認して回避することです。これらの課題の中心にあるのは、最優先事項は高い可視性なのか、より多くのコントロールを維持することなのかという、考え方の違いです。
データの盗難当然ながら、クラウド インフラストラクチャやアプリケーションからのデータの盗難が、回答者の一番の懸念事項でした。IaaSとSaaSの利用者の25%以上が、ホスティングされたインフラストラクチャやアプリケーションからデータを盗まれた経験を持っていました。これは少なくともセキュリティ スキル不足に一因があります。スキル不足はないと回答したITリーダーのうち、IaaSまたはSaaSからのデータの盗難被害にあったのは10%のみでした。
laaS SaaS
サイバー セキュリティのスキル不足でクラウド採用を遅らせている
サイバー セキュリティ スキルが不足しているが
クラウドの採用は継続している
サイバー セキュリティのスキルは不足しておらず
クラウド採用を増加させているサイバー セキュリティのスキル
は不足しておらずクラウド採用・使用を継続している
回答者の割合
16%10%
10%11%
26%29%
33%36%
図10.悪意ある者によってクラウド インフラストラクチャ (IaaS) からデータを盗まれたことがありますか?クラウド アプリケーション (SaaS) からはどうですか? (スキル不足状況毎に集計)。
レポート
13 今後のクラウド環境
レポート
GDPRによる不確かな見通し2018年5月に施行されるEU一般データ保護規則 (GDPR) は世界中のクラウド利用者に影響を与えています。当社の2017年の調査 「一般データ保護規則 (GDPR) のその先」では、 80%以上の組織が、クラウド サービス プロバイダーから規制順守のためのサポートを受けることを期待していました。しかし、利用しているすべてのクラウド プロバイダーでGDPR順守の計画が立てられている、と回答したのは半数のみでした。当然ながらクラウド プロバイダーの能力を信用している組織ほど、今後クラウドへの投資を増加させる計画を持ち、また信用していない組織ほどクラウドへの投資を現状維持する傾向が出ています。GDPRの影響でクラウドへの投資を減らすと回答したのは平均して10%以下でした。
この分析から、この2つの調査の著しい相関性が見えてきます。「一般データ保護規則 (GDPR) のその先」では、GDPRやその他の政治・規制変化によって組織あたり85,000米ドルの投資が削減されるという調査結果が報告されましたが、ここに示されるように、いまだに多くの人がクラウドへの投資は増加すると予測しています。
増加 現状から変化無し
減少 未定
回答者の割合
49%
37%
43%40%
49%49%
6% 6%
2%4%
6%
11%
プライベート ハイブリッド パブリック
図11.2018年5月に施行されるEU一般データ保護規則 (GDPR) によって、パブリック、プライベート、ハイブリッド クラウドへの投資はどう変化しますか?(クラウド アーキテクチャ毎に集計)。
IaaSのセキュリティ問題と現実IT担当者はIaaSにおいて、規制の順守からデータの盗難まで、様々なセキュリティ上の脅威や課題を経験しています。これらは大まかに、3つのカテゴリーに分けられます:可視性の不足、不十分なコントロール、サイバー攻撃。回答者の4分の1以上が、クラウド インフラストラクチャ保護のスキルを持ったスタッフが不足していると回答しており、この事実はこれらの脅威や問題の原因となっています。
14 今後のクラウド環境
レポート
可視性の問題はこれよりも少し多く、ユーザーがIT部門外でクラウド ワークロードを生み出していること、クラウド内にどのようなデータがあるのかが見えていないこと、クラウドのワークロードのモニタリングができないこと、などが含まれます。どのようなコントロールができるとしても、何が起こっているか見えていないとクラウドを保護することは困難です。
調査では、コントロールの問題が僅差で2番目にあげられました。最も多かったのが、機密データのコントロールが不十分であるという回答と、セキュリティのコントロールに一貫性がないという回答です。聞き取り調査をしたCTOの一人はこう話していました。「それに対して何かアクションを起こさないなら、可視性を高める必要はあるでしょうか。人々がクラウドで何をしているのかを確認だけして、ただ日々の仕事に取り組んでいるのではありません。私たちはその情報を使ってさらに検討を重ねて、ある種のコントロールを実行しようとしています。」
サイバー攻撃は3番目でしたが、しかし調査対象の4分の1以上の組織でこれらのサイバー攻撃のうちのどれか一つを少なくとも経験していました。データの盗難 (悪意ある外部または内部関係者による盗難) がこのグループで一番多かった回答です。5分の1がクラウド インフラストラクチャへの新型攻撃に、7分の1がサービス拒否攻撃にあったと回答しています。
悪意ある者による、クラウド インフラストラクチャ上のデータ盗難
悪意ある内部関係者によるデータの盗難とデータの不正利用防止策の欠如
クラウド インフラストラクチャへのサービス拒否攻撃
一つのクラウド ワークロードから他のワークロードへの攻撃の水平展開
クラウド インフラストラクチャへの新型サイバー攻撃
自国外でのデータ保管
マルチクラウドおよびオンプレミス環境でのセキュリティ コントロールの一貫性の無さ
規制の順守が不可能
機密データへのアクセス権限コントロールの不十分さ
クラウドのシステムおよびアプリケーション脆弱性の監視が不可能
クラウドに保管されるデータの可視性の欠如
IT部門の管理外で生み出されるクラウド ワークロードおよびアカウント (シャドーIT)
クラウド インフラストラクチャのセキュリティに関するスキルを持ったスタッフの不足 27%
27%
19%
28%
28%
23%
12%
11%
27%
26%
21%
15%
14%
回答者の割合
図12.IaaS利用にあたって、これらの問題を経験したことはありますか?
こういった経験から、今年の懸念事項はシフトしています。前年の懸念事項の上位2つはセキュリティ コントロールの一貫性の無さとスキルの欠如でしたが、今年はそれらに関しては重要視されず、代わりにデータの盗難と可視性の欠如、そしてシャドーITが懸念事項の上位になっています。一般的に、IaaSでの可視性の問題はコントロールの問題よりも重要視されています。
15 今後のクラウド環境
レポート
IaaS利用にあたっての懸念事項トップ8:1. 悪意ある者による、クラウド インフラストラクチャ上のデータの盗難
2. クラウドに保管されるデータの可視性の欠如3. IT部門の管理外で生み出されるクラウド ワークロードおよびアカウント (シャドーIT)
4. クラウド インフラストラクチャへの新型サイバー攻撃
5. 機密データへのアクセス権限コントロールの不十分さ
6. 悪意ある内部関係者によるデータの盗難とデータの不正利用防止策の欠如
7. マルチクラウドおよびオンプレミス環境でのセキュリティ コントロールの一貫性の欠如
8. クラウド インフラストラクチャ セキュリティに関するスキルを持ったスタッフの不足
攻撃から身を守るためには、 データ以外にまで被害が及ぶ最近の攻撃の進化をIaaSの中心的リスクとして認識する必要があります。 悪意ある者は計算リソースを敵対的に乗っ取って暗号通貨のマイニングを行ったり、これらのリソースを企業インフラストラクチャおよびサードパーティへの侵入経路として再利用したりします。
盗難防止能力やアクセス コントロール能力を評価することは、クラウドでインフラストラクチャを構築する際に重要となるイニシアチブです。クラウドにデータを入れる権限のコントロール、リソース変更トラッキングによる異常行動の特定、オーケストレーション ツールの保護および堅牢化、サーバー・クライアント間およびクライアント・クライアント間トラフィックのネットワーク分析による情報漏洩のチェックは、クラウド インフラストラクチャ配備の保護における標準的な手法になりつつあります。
SaaSのセキュリティ問題と現実SaaSユーザーも、IaaSユーザーと同じようなセキュリティの脅威と問題を経験しています。可視性の欠如はIaaSよりもSaaSで多く見られ、約3分の1の組織で、クラウド アプリケーションにどのようなデータがあるのか不明確になっています。移動中のデータの不十分な可視性とシャドーITも大きな懸念事項です。
コントロールに関するインシデントでは、機密データのコントロール不足が一番の懸念事項でしたが、クラウドにどのようなデータがあるのか見えていないのであればこれは当然です。他にコントロールの問題としてあげられたのは規制の順守と国外でのデータ保管だけですが、こういった問題を持つ割合はIaaSユーザーよりも高くなっています。繰り返しますが、見えないものをコントロールするのは困難なのです。
悪意ある者によるクラウド アプリケーションからのデータの盗難
悪意ある内部関係者によるデータの盗難とデータの不正利用防止策の欠如
サービス プロバイダーでのサービス停止による重要データへのアクセス不可
クラウド インフラストラクチャへの新型サイバー攻撃
自国外でのデータ保管
機密データに対するアクセスコントロールの不十分さ
規制の順守が不可能
クラウド アプリケーション プロバイダーのオペレーション
におけるセキュリティの評価が不可能
IT部門の管理外で生み出されるクラウド アプリケーション (シャドーIT)
クラウド アプリケーションから入出力されるデータの監視不足
クラウド アプリケーション内のデータの可視性の欠如
クラウド アプリケーションのセキュリティ管理スキルを持ったスタッフの不足
30%
24%
23%
23%
16%
25%
15%
14%
26%
22%
21%
12%
回答者の割合
図13.SaaS利用にあたって、以下の問題を経験したことはありますか?
16 今後のクラウド環境
レポート
サイバー攻撃はSaaSサービスでも同様に広まっており、回答者の4分の1以上がこれによって大きな問題を経験しています。悪意ある者や内部関係者によるデータの盗難が一番多く、次にアプリケーションに対する新型攻撃が多く経験されています。サービス停止によって重要データにアクセスできなくなった経験があると回答したのは、SaaSを利用している組織の10%強でした。
サイバー攻撃やデータの盗難が広く報道されているからかもしれませんが、SaaSユーザーは一番の懸念事項としてデータの盗難をあげており、その次の懸念としてクラウド プロバイダーをターゲットにした新型サイバー攻撃をあげています。IaaSと同様、SaaSでも可視性の問題はコントロールの問題より上位にあげられています。
SaaS利用にあたっての懸念事項トップ8:1. 悪意ある者によるクラウド アプリケーションからのデータの盗難
2. クラウド アプリケーション プロバイダーへの新型サイバー攻撃
3. クラウド アプリケーションから入出力されるデータの監視不足
4. クラウド アプリケーション内のデータの可視性の欠如5. IT部門の管理外で生み出されるクラウド アプリケーション (シャドーIT)
6. 機密データへのアクセス権限コントロールの不十分さ7. 悪意ある内部関係者によるデータの盗難とデータの不正利用防止策の欠如
8. クラウド アプリケーションのセキュリティ管理スキルを持ったスタッフの不足
SaaSのほとんどの共同責任モデルではデータとアクセスは利用者が全責任を負うことになっているので、 SaaSアプリケーションでの問題は必然的にデータとアクセスに集中しています。 どのデータをクラウドに入れるか、誰にアクセスを許可するか、どのレベルの保護を適用 (一部はクラウド プロバイダーが適用) するかというのは、利用者の責任です
SaaSプロバイダーが、組織のデータとプロセスへのアクセスポイントになりえると考えておくことも重要です。2017年に流行したXcodeGhostやGoldenEyeランサムウェアなどといった新型の攻撃を見てみると、攻撃者が、より大規模な攻撃をしかけるための侵入経路としてソフトウェアとクラウド プロバイダーに注目していること、またその潜在的脆弱性に焦点を当てていることがわかります。プロバイダーのセキュリティ プログラムの精査、第三者の定期的監査とレポートの共有の要求、セキュリティ違反の報告の要求をすることで、組織を保護するための技術ソリューションを補完できます。
プライベート クラウドのセキュリティ問題と現実プライベート クラウドでの経験とセキュリティ問題は、IaaSやSaaSのものとは大きく異なります。本調査では高い割合で、セキュリティ スキルの不足があげられました。これは課題のトップ2を占める、従来のインフラストラクチャとバーチャル インフラストラクチャでの一貫したセキュリティ コントロールの欠如と、プライベート クラウド インフラストラクチャの複雑性の増加という問題によってさらに深刻になっています。スキル不足は継続的に起こっている問題で、プライベート クラウドの採用を減らし、クラウド サービス プロバイダーのスキルある人員と規模の経済を活用しようという傾向があるのは、これに起因するところが大きいと考えられます。
IaaSやSaaSの利用者と同様に可視性は重要な課題で、プライベート クラウドにおいては特にソフトウェア定義ネットワークのセキュリティの不完全な可視性が問題になっています。
17 今後のクラウド環境
レポート
データの盗難被害はパブリック クラウドより多少少ないですが、組織規模によって変わっており、小規模の組織ではプライベート クラウドでもパブリック クラウドと同程度の盗難にあっています。興味深いことに、規制順守に苦労しているという回答は、プライベート クラウドよりもパブリック クラウドで多くなっています。本年度の懸念事項は昨年と非常に似通っています。プライベート クラウドの運用ではインフラストラクチャの複雑性、新型攻撃、一貫性あるコントロールの欠如が最も懸念されています。これらの懸念事項と継続的なスキル不足が、ハイブリッド クラウド アーキテクチャの増加に拍車をかけています。
規制の順守が不可能
悪意ある内部関係者によるデータの
盗難とデータの不正利用防止策の欠如
新型サイバー攻撃
IDおよびアクセス管理のコントロールの不足
新型サイバー攻撃
ソフトウェア定義データセンター (バーチャル演算、ネットワーク、ストレージ) の
セキュリティの可視性の不足
ソフトウェア定義データセンター (バーチャル演算、ネットワーク、ストレージ) のセキ
ュリティ管理ができるスタッフの不足
インフラストラクチャの複雑性が高まるにつれ、導入と維持
にかかる時間と労力が増加
従来型のサーバーとバーチャル プライベート クラウド インフラストラクチャに渡った、一貫したセキュリティ コントロールの欠如
34%
33%
36%
28%
27%
21%
18%
18%
11%
回答者の割合
図14.プライベート クラウド利用にあたって、以下の問題を経験したことはありますか?
プライベート クラウド利用にあたっての懸念事項トップ8:1. インフラストラクチャの複雑性が高まるにつれ、導入と維持にかかる時間と労力が増加
2. 新型サイバー攻撃3. 従来型サーバーとバーチャル プライベート クラウド インフラストラクチャに渡った、一貫したセキュリティ コントロールの欠如
4. ソフトウェア定義データセンター (バーチャル計算、ネットワーク、ストレージ) のセキュリティ管理ができるスタッフの不足
5. ソフトウェア定義データセンター (バーチャル計算、ネットワーク、ストレージ) のセキュリティの可視性の不足
6. 悪意ある者によるデータの盗難7. 悪意ある内部関係者によるデータの盗難とデータの不正利用防止策の欠如
8. IDおよびアクセス管理のコントロールの不足
プライベート クラウド環境ではきめ細かく調整されたコントロールが手に入ります。これはパブリック クラウドとプライベート クラウドでのリソース配分の意思決定プロセスで重要な判断要因となるべきです。コントロールがきめ細かく調整され、保護が充実していることは、プライベート クラウド配備の限界を十分補える利点であり、画一的なサーバーベースのデータセンターからの移行を現実的なものにしてくれます。
18 今後のクラウド環境
レポート
しかし、パブリック クラウドではプロバイダーがインフラストラクチャの維持をしてくれるので、プライベート クラウドでのきめ細かく調整されたコントロールの維持はパブリック クラウドでのコントロール維持よりも難しいということを忘れてはいけません。パブリックおよびプライベート クラウドのプラットフォームを物理・バーチャル・ハイブリッド環境にわたって一元管理するコントロールを抽象化することで複雑性を減らし、セキュリティ管理も簡素化することができます。
シャドーITとの共存IT以外の部門が管理しているとみられるクラウドサービスは平均して約35%で、前年度の40%から減少しました。ただ残念なことに、こういったシャドーITの可視性も47%から43%に下がっています。しかし、組織のクラウド サービスの安全維持能力にシャドーITが与える影響への懸念は、66%から62%に下がっています。興味深いことに、シャドーITの可視性は、IT部門外で利用されるクラウドサービスの割合が上がるほど高くなっています。必要なクラウドサービスの利用を事業部門に許可し推奨すると、事業部門はIT部門にクラウドの利用を隠さず、オープンに情報共有するようになるようです。
1-20% 20-40% 40-60% 60-80% 80-100
IT部門外で利用されるクラウドサービスの割合
シャドー
ITの平均的可視性
29% 35%
47%
60%
81%
図15.使用しているパブリック クラウド サービスのうち、何%がIT部門の直接の関与なく、IT以外の部門に委託されていますか (シャドーIT)?(シャドーITの平均的可視性の順に表示)
聞き取り調査をしたエンターテイメント産業のCISOは、非常に柔軟なシャドーITへの見解を説明してくれました。彼らの組織では会社公認のクラウド サービスがありますが、他のサービスを禁止してはいません。従業員がそういったサービスは回避するだろうと考えているからです。なぜ彼らの組織のアプローチは他の組織とは異なっているのでしょうか。それは、部門特有のニーズに対応するためであったり、他のスタジオやアーティストからの要求や推薦であったり、または新しくより良いものがあったりしたからです。彼らの目的はユーザーのニーズを受け入れ、適切なツールを見つける手助けをし、独創性と時間枠とのバランスを見つけ、知的所有権の保護をすることです。
19 今後のクラウド環境
レポート
ある他社のエグゼクティブは一般的にはこのアプローチに賛成し、ITと他部門との間の敵対的関係を避ける必要があると強調しました。彼らのチームは、シャドーITユーザーはトレンドを掴んで発見する役割を担っているとみなしており、新しい有益なアプリケーションの発見には褒賞を与えています。そしてITチームはその管理、支払い、そしてアプリケーション使用におけるセキュリティ強化の責任を負っています。これはリスクとリワードの枠内で実行されているものであり、ハイリスクな活動は推奨されていません。
シャドーITの利用を効果的に監視するには複数のツールが必要になります。これには主に、次世代ファイアウォール、データベース監視、ウェブ ゲートウェイ、そしてクラウド アクセス セキュリティ ブローカー (CASB) があります。クラウド ファースト戦略を持つ組織では、シャドーITの監視にCASBを最優先で採用する確率が倍になっています。
シャドーITのセキュリティには複数のメソッドが必要です。主要なメソッドには以下があります。
■ Data Loss Prevention (DLP) と暗号化■ IDとアクセスの管理■ 使用中アプリケーションの定期的監査と潜在的リスクの評価
■ 許可されていないクラウド サービスへのアクセスのブロック
■ シャドーITを承認済みの類似サービスへ移行
概念上は、シャドーITを完全に把握することが最終的な解決策です。管理されていないデバイスでクラウドのアカウントを作成し、許可されていないサービスでデータを共有するといったことは簡単にできてしまうので、データ ドメインの統合や完全なコントロールがほぼ不可能になっています。費用の監視、部門の支援、技術ソリューションを組み合わせて、シャドーITに対する包括的ガバナンスを作り上げることが必要です。
クラウド アプリのマルウェアマルウェアはどのようなタイプの組織でも継続して懸念されており、調査対象の56%が、クラウド アプリケーションを原因としたマルウェアへの感染を経験してします (2016年度は52%)。クラウドへのマルウェアの侵入経路については、回答者の4分の1強がフィッシングと回答し、そして既知の送信者からのメール、自動ダウンロード、既存マルウェアによるダウンロードという回答が続きました。
変化への対応力スピードは、船の性能と船員の能力という2つの主要なファクターに依存しています。すなわち、どれほど速く進むことができ、どれほど見通しの良い舵取りができるかということです。ほぼすべての組織でクラウドが利用されていますが、最終的な目的地に近づいているようには見えません。ITインフラストラクチャの80%をクラウドにするためにどれほどの年月がかかるかという質問への平均的回答は14か月で、前年の回答の15か月から1か月少なくなりました。しかしクラウド ファースト戦略を持つ組織では12か月で達成できると考えており、そうでない組織は18か月だと考えています。
データセンターの仮想化はより速く進み、平均してあと17か月でソフトウェア定義データセンターへの完全移行が完了すると回答されました (前年の回答は27か月)。クラウド ファーストの組織はここでも進んでいて、14か月で移行を完了でき、サーバー仮想化は61%に達していると回答、クラウド ファーストではない組織では23か月かかり、仮想化の進展は50%との回答でした。昨年は、規模の大きい組織は小さい組織よりも仮想化で後れを取っていましたが、一年かけて追いついてきました。仮想化のレベルとトランスフォーメーション時間は、組織の大きさによってあまり変わらなくなっています。
20 今後のクラウド環境
レポート
2015 2016 2017
アメリカ
カナダ
ブラジル
メキシコ
フランス
ドイツ
オーストラリア
シンガポール
日本
イギリス
IT予算の80%がクラウド向けになるまでにかかる平均的月数
19
14
15
16
16
14
11
13
14
12
図16.IT予算の80%がクラウド向けになるまでにかかる月数。
スキル不足の解消クラウドの採用に関したサイバー セキュリティ スキル不足は解消されつつあり、スキル不足ではないという回答は、去年の15%から増えて24%になっています。スキル不足だという回答をした組織のうち、スキル不足の結果としてクラウドの採用を遅らせたのはわずか40%でした (前年は49%)。興味深いことに、クラウド ファースト戦略を持つ組織では、そういった戦略を持たない組織より倍の確率で採用を遅らせていました。プライベート クラウドのみを利用している組織はスキル不足の問題を持っている可能性が高く、クラウドの採用を遅らせる確率が高いので、ハイブリッド クラウドへのシフトが継続しているのだと考えられます。スキル不足は、国別ではアジア パ
シフィックの国々が一番多く、一番少なかったのは日本、そして産業別ではテレコムおよびソフトウェア会社が一番多く、製造業および公益事業で一番少なくなっています。産業別でみると、クラウド採用率は、スキル不足が一番多い産業で一番高くなっていました。
サイバー セキュリティのスキルは
不足しておらずクラウド採用
を増加させている
サイバー セキュリティのスキルは
不足しておらずクラウド採用
を継続している
サイバー セキュリティ スキルが不足
しているがクラウド採用
は継続している
サイバー セキュリティ
スキル不足でクラウド採用を遅
らせている
回答者の割合
6%10%
15%18%
8%
43%
34%37% 39%
42%
従業員501名~1,000名
従業員1,001名~5,000名
従業員5,000名以上
図17.サイバー セキュリティ人材不足でクラウド コンピューティングの利用に支障をきたしていますか?(従業員数毎に集計)
スキル不足に悩んでいて、クラウドの採用を優先している組織では、クラウド配備の自動化、マルチ プロバイダー管理ツールおよび統合ワークロード セキュリティ プラットフォームを試験してクラウド環境保護に使用するテクノロジーの数を減らすことから効果を発揮する可能性があります。。多くの組織がこれまでオンプレミスでそうしてきたような適宜プロバイダーを選定する従来型のアプローチは、クラウドでのスキル不足を悪化させる可能性があります。組織は新しいクラウド インフラストラクチャを、スキル、配備スピード、オーケストレーションのニーズに対応すべく保護戦略を根本的に変える機会としてとらえなければなりません。
21 今後のクラウド環境
レポート
聞き取り調査をしたCTOの一人は、熟練したセキュリティ専門家が市場に不足していることに同意していました。彼らはコンサルタント、マネージド サービス プロバイダー、そしてクラウド プロバイダーと協力してインハウスの機能を補完し拡大しようとしています。
より速く、より安全にほぼすべての組織でクラウドサービスを利用していて、かつその利用量を増やす計画を立てていますが、目標に速く安全にたどり着くにはどのようなステップを踏む必要があるでしょうか。現在、平均して27%のITセキュリティ予算がクラウドのセキュリティに費やされており、12か月後には37%に達すると推定されます。クラウド ファースト戦略があると、セキュリティにより多くのコストを割くようになり、クラウド トランスフォーメーションのスピードも速くなります。
クラウドファーストの効果クラウド ファースト戦略を持つグループと持たないグループの運用上のプラクティスを比較すると、大きな違いがいくつかみえてきます。クラウド ファースト戦略を持たない組織でも、もちろん多くのクラウド サービスを利用しています。しかし、クラウド ファースト戦略を持つグループでは、DevOpsプロセスを採用している確率が2倍で、DevSecOpsプロセスを採用している確率はほぼ7倍です (DevOpsとDevSecOpsはデータおよびアプリケーションのセキュリティに良い影響を与えることが証明されています)。
クラウド ファースト戦略を持つグループではシャドーITのインシデントが多くなっていますが、一方でシャドーITの可視性も高くなっています。この2つのグループの考え方の違いは、より多くのコントロールをとるか、またはより高い可視性をとるか、にあるように見えます。IaaSとSaaSについては、クラウド ファーストの支持者は可視性に関する問題を優先し、クラウド ファーストを支持していない人はコントロールを優先しています。クラウド ファーストのグループは、コンテナーやサーバーレス機能にセキュリティを適用する戦略を持っている可能性が非常に高くなっています。当然ながら、クラウド ファーストのグループのクラウド セキュリティへの予算は、そうでないグループより25%高くなっています。
DevOps:事業部門またはアプリケーション チームが、IT部門の正式な関与なくクラウド資産を直接運用し、反復的開発または配備メソッドなどを用いながら、新しいアプリケーションのバージョンまたは変更を配備する手法です。高品質のアプリケーションをより速く作り上げることを目的としています。
DevSecOps:アプリケーション チームがDevOpsにセキュリティを組み込むもので、開発後の個別のセキュリティ確認チームによる検証などは行われません。ライフサイクルのすべての時点にセキュリティを組み込み、脆弱性の少ない安全なアプリケーションを作ることを目的としています。
22 今後のクラウド環境
レポート
DevOpsとDevSecOpsの利用アプリケーション開発とITオペレーションへの統合的アプローチであるDevOpsは、配備にかかる時間、コードの安定性、システムダウンのリカバリーに効果があることが証明されています。しかし調査対象のうち、クラウド環境の運用で現在DevOpsアプローチを用いているのは49%のみでした。 DevOpsアプローチを採用しているうちの77%は、この機能にセキュリティを統合したDevSecOpsを採用しています。DevOpsの採用の割合は組織の規模や産業にはあまり関係していませんが、ソフトウェアおよびテクノロジー会社は別で、60%が採用しています。日本、ドイツ、オーストラリアはDevOpsの採用が一番少なく、約35%でした。DevOpsとDevSecOpsはセキュリティ プラクティスに良い影響を与えています。これを採用している組織では、そうでない組織に比べてコンテナーやサーバーレス コンピューティングのためのセキュリティ戦略を持つ確率と、クラウドで統合セキュリティ ソリューションを利用している確率が2倍になっています。
あるCTOは、DevSecOpsの採用後、コードの品質が上がったと強調していました。このプロセスの導入前は、彼らはコード精査を定期的または徹底的には行っていませんでした。単純に、エンジニアの仕事を信用していたのです。しかしセキュリティを直接コードの配備に組み込むことで、定期的なテストと検査が行われ、セキュリティ侵害や脆弱性を生み出すエラーを減らすことができました。
プライベートのみ パブリックのみ ハイブリッド
回答者の割合
47%40% 38%
26%
53%
40%
DevOps DevSecOps
図18.DevOpsとDevSecOpsを採用している組織の割合。注: DevSecOpsの回答者は、DevOps回答者の中に含まれます (クラウド アーキテクチャ毎に集計)。
考慮すべき点:安全なクラウドの採用で事業を加速可視性の不足は、コントロールや機能の不足よりも事業への影響が大きくなります。結局のところ、見えないものの舵取りはできないからです。クラウド サービスを率先して採用している組織はこの原則を理解しており、事業を加速するためにITオペレーションにクラウドの可視性確保を組み込んでいます。クラウドの可視性が高いほど、組織は革新的クラウド アプリケーションを早期に採用し、セキュリティ上の脅威に迅速に対応し、また仮想化によるコスト削減の恩恵を享受できるようになります。
23 今後のクラウド環境
レポート
このように可視化を重視する組織では、各事業部門のニーズにマッチさせるため、あらゆるクラウドサービスを使用している可能性が高いです。クラウド ファースト戦略を採用しているかどうかに関わらず、このような組織はコンテナーやサーバーレス機能へのセキュリティ戦略を持っており、ハイブリッド環境を運用し、シャドーITの可視性が高く、自身のクラウド データのセキュリティに直接責任を持っています。彼らはできる限り多くのものを見える化させて、データやアクセスにさらにコントロールが必要か、従業員にもっと研修とセキュリティ意識の向上が必要か、どのサービスやアプリケーションが必要かといった最適なアプローチの決定をしたいと考えています。
みなさんの組織では、それが主要戦略でなかったとしてもクラウド サービスを利用しているでしょう。本調査では、セキュリティの観点から見て、すべての組織が積極的に取り組むべき3つのベストプラクティスが明らかになりました。
1. DevSecOps プロセスDevOpsとDevSecOpsは、コードの品質を向上させ、セキュリティの脆弱性を減らし、アプリケーション開発と機能の配備スピードを速めることが証明されています。現在のビジネス環境のスピードについていくためには、独立したセキュリティ確認チームに頼るのではなく、事業部門内またはアプリケーション チーム内で開発、品質保証、およびセキュリティ プロセスを統合することが不可欠です。
2. 配備の自動化と管理ツールどれほど経験豊富なセキュリティ専門家であっても、手助けなしにクラウド展開のボリュームとスピードについていくのは困難です。自動化は人間の長所を機械の強みで補強することができ、現代のITオペレーションの基礎となっています。Chef、Puppet、Ansibleのような配備の自動化と構成管理ツールは、パブリック クラウドでもプライベート クラウドでも利用できます。
3. すべてのサービスおよびプロバイダーを集中管理する統合セキュリティ ソリューション複数のクラウド プロバイダー 管理ツールを使用していると、見落としが起こる可能性が高くなります。オープンな統合ファブリックを持つ統合管理ソリューションにより、複数のクラウドを統合してワークフローを簡素化し、複雑性を減らすことができます。
最後に、何かを犠牲にして何かを得る決断が必要な場合は、コントロールよりも高い可視性を優先すべきです。一部だけをクラウドで管理するよりも、すべてをクラウド化する方が見通し良くなります。
24 今後のクラウド環境
レポート
付録:メソドロジーと統計2017年第4四半期に、マカフィーは1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。回答者は、様々な国、産業、組織規模の、ITおよびテクニカル オペレーション分野での意思決定権を持つ一般的識者から選定されています。各国の民間および公共の組織から、金融サービスおよび医療分野に特にフォーカスして調査対象を選定しました。また2017年10月から12月にかけてフィールドワークを行い、クラウドの採用およびセキュリティの現状と今後の計画について詳細を確認しました。
25%
7%
5%
7%
9%
9%
9%
5%
7%
7%
9%
アメリカ
カナダ
ブラジル
メキシコ
フランス
ドイツ
オーストラリア
シンガポール
日本
インド
イギリス
図19.回答者の分布(国別)
25% 25%
50%
従業員501名~1,000名
従業員1,001名~5,000名
従業員5,000名以上
図20.回答者の分布(組織規模別)
25 今後のクラウド環境
レポート
3%
6%
35%
1%
0%
0%
1%
1%
1%
1%
1%
2%
3%
4%
2%
2%
2%
1%
1%
22%
11%
デスクトップ オペレーション/アドミニストレーション
DevOps
IT マネージャー
IT ネットワーク ディレクター/ VP
IT ネットワーク マネージャー
IT セキュリティ ディレクター/マネージャー
ネットワーク オペレーション/システム アドミニストレーター
その他 (詳細)
セキュリティ アナリスト
セキュリティ アーキテクト
セキュリティ オペレーション
ITヘルプデスク
ITエンジニア
コンサルタント
クラウド セキュリティ アーキテクト
クラウド サービス マネージャー
クラウド コンピューティング システム エンジニア
クラウド アーキテクト
CISO/CSO
CIO
チーフ データ オフィサー
図21.回答者の分布(役職別)
図22.回答者の分布(業種別)
5%
20%
20%
2%
10%
7%
4%
小売、運輸および物流
サービス (ホテル・レジャーを含む)
公益事業 (電気、石油、ガス、上下水道)
テレコム
ソフトウェアおよびテクノロジー
メディアおよびエンターテイメント
保険
製造業
医療
政府機関
金融 (保険を除く)
エンジニアリング
教育
26 今後のクラウド環境
レポート
McAfee、McAfeeのロゴ、ePolicy Orchestrator、McAfee ePOは、米国法人McAfee LLCまたは米国またはその他の国の関係会社における登録商標または商標です。その他すべての登録商標および商標はそれぞれの所有者に帰属します。Copyright © 2018 McAfee, LLC.3872_0418 2018年4月
〒150-0043東京都渋谷区道玄坂1-12-1渋谷マークシティウエスト20Fwww.mcafee.com/ja
26
McAfee についてマカフィーはデバイスからクラウドまでカバーする、サイバーセキュリティ企業です。協力から生まれるパワーに触発され、世界を安全な場所にするためにビジネスおよびコンシューマー向けのソリューションを創出しています。他社の製品と連携するソリューションを構築することで、真に統合されたサイバーセキュリティ環境を整備し、脅威の対策、検出、修復を連動して行うことができます。マカフィーの個人向けのソリューションは、すべての種類のデバイスに対応しています。自宅でも外出先でも、安心してデジタル ライフを楽しむことができます。マカフィーでは、他のセキュリティ企業との連携を強化し、力を合わせてサイバー犯罪者と戦っています。
www.mcafee.com/ja.
