2022年9月28日8:00
フランス・タレス(Thales)グループの日本法人でデジタルセキュリティ部門を担う、タレス DIS ジャパンは、2022年9月27日、「2022年 タレス クラウド セキュリティ調査」の結果に関するオンライン記者説明会を開催した。また、同日には「CipherTrust Data Security Platform Community Edition」を発表した。これにより、開発者やDevSecOps(ソフトウェア開発のすべての工程にセキュリティを組み込んでおくこと)チームに鍵管理および暗号化プラットフォームを提供し、データ保護コントロールをマルチクラウドアプリケーションへ簡易に展開することが可能になるそうだ。
タレス DIS ジャパン クラウドプロテクション&ライセンシング データプロテクション事業本部 本部長 藤岡 健氏
HSM鍵管理の主要プレイヤー
世界約2,800人から調査を実施
タレスは、8万人の従業員を有しており、68カ国で事業を展開。約2兆3,000億円の売り上げがあるが、防衛、通信衛星、鉄道、セキュリティ等を含めて研究開発に売上高の6%(1,360ユーロ)を投資している。
タレスは鍵の暗号化と復号化を行うHSM(Hardware Security Module)ビジネスの2大プレイヤーのタレス eセキュリティ部門と、セキュリティベンダーのジェムアルト(Gemalto)との統合により、同分野でリーダー的な存在となっている。タレス DIS ジャパン クラウドプロテクション&ライセンシング データプロテクション事業本部 本部長 藤岡健氏は「暗号化、鍵管理を1つのプラットフォームで実現している唯一の企業だと自負しています。クラウドベースのシングルサインオンサービスは、海外の政府機関でも国民向けのセキュリティで使われており、国際銀行間の取引であるSWIFTはHSMがスタンダードとして採用されています」と話す。
2022年のタレス クラウドセキュリティ調査は、セキュリティ専門家とエグゼクティブリーダーを対象とした調査となり、米国、カナダ、欧州、ラテンアメリカの17カ国からアンケートを集めて実施。APAC地域は876人、日本の203人が参加した。
APACでマルチクラウド導入本格化
クラウドの複雑さに懸念も
まず、APACの地域でマルチクラウドの導入が本格化したという。クラウド移行へのさまざまなアプローチが行われているが、再購入してシフトする企業が33%(日本37%)となった。続いて既存のアプリケーションをリフト&シフト(移行&最適化)した企業は22%(日本22%)、アプリケーションの再構築およびリファクタリングが16%(日本11%)、リフト&シフトと再構築の組み合わせが23%(日本23%)となっている。
マルチクラウドの利用は増加しており回答者の60%はSaaS、IaaS、PaaSといった複数のクラウドプロバイダーを利用していると回答した。これは、世界全体よりもAPACは8%低い数字となる。
クラウドマネジメントに関する調査では、運用とセキュリティの複雑さが大きな懸念となっている。回答者の49%(日本52%)がオンプレミスよりもクラウドの方が複雑という回答をしている。また、61%以上をクラウドではない環境に保存していると回答したのは20%にとどまった。8割以上の企業が60%以上の機密データをクラウド内に保持している。機密データがクラウドの環境に移行されている実態が把握できた。
監査やデータ侵害の懸念も顕著に
クラウドコンソールでの鍵管理増加
43%(日本39%)の調査対象のAPAC企業が、過去に監査の失敗、データ侵害、クラウドデータの侵害を経験したことがあると回答した。日本の調査を見ると、2021年の29%から2022年は39%と、約10%増加している。藤岡氏は「この背景にはクラウド利用の増加、そして監査条件の強化、侵害の増加など、複数の理由が起因しています」と話す。
クラウドのセキュリティポリシー、標準、適用についてのAPACの回答として、47%(日本53%)が、ポリシーはセキュリティチームが一元的に管理しているが、技術標準の定義と適用はクラウドデリバリーチームに委ねられていると回答した。これは、2021年に比べて5%アップした。また、38%(日本37%)がポリシーと標準はセキュリティチームが選んだツールを使用している、一元的に定義および適用していると回答した。さらに、15%(日本10%)が各クラウドのデリバリチームに依存されていると回答しており、前年より7%減少している。藤岡氏は「日本は一元化への移行が最も高い国であった結果が出ています」と話す。
暗号化技術に関しては、サイバー攻撃からデータを保護するために重要なセキュリティ技術となる。回答者は、保存データの暗号化、トークン化とマスキング、鍵管理、HSMを上位の手法として列挙している。38%(日本37%)のAPAC企業が、トークン化、暗号化されたデータの盗難や漏洩について例外を認める規制の「セーフハーバー」条項により、必要なデータ侵害通知プロセスを回避することができたとした。また、APAC企業の46%(日本51%)が、クラウドでの暗号化の使用場所や使用方法の主な推進要因となっているのは、内部セキュリティアーキテクチャの決定であると回答し、また38%(日本38%)が規制コンプライアンスと回答している。さらに、わずか 21% のAPAC回答者が、クラウド内の機密データの61%以上(日本16%)が暗号化されていると回答している。
組織は、暗号鍵管理のために複数の戦略を組み合わせている。クラウドコンソールで鍵管理しているAPAC企業は前年より7%増加している。鍵管理ソリューションを一元化されたプラットフォームに統合する動きが始まり、年々加速している。これによりシステム環境全体にわたるツールの標準化と、サポートを必須とするマルチクラウド組織において、全体的な複雑さと、クラウド環境のセキュリティ保護の複雑さが軽減されるとした。
APAC企業は暗号鍵管理の無秩序な拡散が問題であると報告している。 12%(日本14%)の回答者が、1~2つの鍵管理ソリューションを使用していると回答している。また、55%(日本61%)が5つ以上の鍵管理ソリューションを使っている。これは世界と同等の結果となったように、問題がいまだ継続している。
ゼロトラストの調査では、APAC企業の80%(日本81%)がゼロトラスト計画を検討中、評価中、または実行中であると回答した。20%(日本19%)が未着手となった。2022年は微増だったものの、「ゼロトラストの傾向が続いている前向きな兆候であると捉えています。クラウドアクセスに対するゼロトラストの拡大は重要な傾向でした」(藤岡氏)。APAC回答者の62%(日本68%)が、クラウドアクセスでゼロトラストの原則と手法を活用したいと考えていると回答した。
ゼロトラスト世界のデータセキュリティ
「CipherTrust Platform Community Edition」の特徴は?
藤岡氏は、ゼロトラスト世界でのデータセキュリティで考慮することとして、「機密データを検出して分類する」「機密性の高い保存データ、移動中データ、使用中データを保護する」「機密データへのユーザーアクセスを制御し、ライフサイクル全体を通じて鍵を管理する」ことの3つを挙げた。
