調査の結果、クラウドの普及にセキュリティ管理が追い付いていない実態が浮き彫りになった。
クラウド上に置かれるデータのセキュリティに関する限り、クラウドはまだ“西部開拓時代の状況に近い”――米Courionの年次調査「2010 Access Assurance Survey」はこう結論付けた。同調査では、7社に1社の企業が自社のクラウドアプリケーションへの不正アクセスの危険性があることを認識しながらも、不正アクセスを見つける方法がないと考えていることが分かった。
この調査によると、クラウドデータのセキュリティに対して誰が責任を負うのかをめぐって大きな混乱が生じており、回答者の78.4%が最終責任者を特定できなかった。「こういった混乱の中で企業がクラウドソリューションの採用を進めているため、データへの不正アクセスの危険性が高まっている」と報告書は指摘する。
この調査は世界各国の大手企業(86%が従業員数1000人以上)の384人のビジネスマネジャーを対象として今年10月に実施されたもので、クラウドの普及にセキュリティ管理が追い付いていない実態が浮き彫りになった。また、従業員がどのシステムやアプリケーションにアクセスできるかを把握していない企業が増えており、昨年の調査結果と比べると10%の増加となっている。
「これは、従業員のアクセスを管理していない企業が増えているという危険な状況を示すものだ。クラウドソリューションの利用拡大がこの状況を悪化させている」と報告書は記している。
回答者の約半数(48.1%)は「クラウドベースのアプリケーションに対するコンプライアンス監査で、すべてのユーザーアクセスが適切であると示される自信はない」と答えている。さらに15.7%の回答者は「不正アクセスの危険があることに気付いているが、それをどうやって見つければよいか分からない」としている。また、クラウド環境に置かれたデータに対して誰が最終責任を負うべきか分からないという回答者は4分の3以上に上った。
「データを作成した企業、アプリケーションプロバイダー、クラウドサービスプロバイダーのいずれにも責任がある」という回答が65.4%だったのに対し、「よく分からない」と答えた人は13%だった。つまり、データの保護に対する最終責任者についてコンセンサスがないということだ。また、回答者の 61%が「従業員がどのシステムあるいはアプリケーションにアクセスできるのかよく知らない」あるいは「まったく知らない」と答えた。2009年の調査では、この数字は52.8%だった。これは、“ゾンビアカウント”(従業員が退職あるいは異動した後でも有効になったままのアカウント)がデータへの不正アクセスにつながる危険性が高まっていることを示している。
昨年と比べると、企業の間では、退職従業員が1つあるいは複数のITシステムにアクセスするのを防げるという自信が弱まっており、「あまり自信がない」と答えた回答者は64.3%だった。昨年の調査では57.9%だった。社内よりも社外のITセキュリティの脅威に不安を感じている企業の割合は若干増加し、「社外の脅威が最大の懸念だ」と答えた回答者は、昨年が54%に対し、今年は56.5%だった。
「これらの結果は、多くの企業が現在、社内で適切な従業員だけがセンシティブなデータにアクセスできるようにするために必要な注意を払っていないことを示している。データがサードパーティーのプロバイダーに置かれている場合は、なおさらそうだ」と報告書は締めくくる。「これらの回答は問題が深刻化しつつあることを示しており、不正アクセスのリスクを高めるクラウドベースのアプリケーションの利用拡大が状況をさらに悪化させている」
http://www.itmedia.co.jp/enterprise/articles/1010/28/news054.html
