The Biggest Cloud Security Challenges in 2022

2022年のクラウドセキュリティの最大の課題を探る

クラウドの導入は年々増加しており、クラウドセキュリティの重要性も高まっています。 近年、多くの組織がビジネスニーズをサポートするためにクラウドベースのインフラストラクチャに急速に切り替えましたが、このインフラストラクチャを保護するための取り組みは遅れています。 2022年、多くの組織がこれらの問題の是正を模索していますが、次のような大きな課題に直面しています。

#1.マルチクラウドの課題

ほとんどの企業では、マルチクラウドのデプロイメントを導入しています。 これにより、特定のユースケースに最適化されたさまざまなクラウド環境の独自の利点を最大限に活用できます。 しかし、それはまた、クラウドインフラストラクチャの規模と複雑さを増します。

マルチクラウド環境の複雑さが増すと、 multi-cloud security 課題。 マルチクラウドユーザーが直面する主な課題には、次のようなものがあります。

• データ保護とプライバシー: 57%の組織が、企業のポリシーや規制要件に従ってマルチクラウド環境でデータを適切に保護することが困難であると感じています。 環境が異なれば、組み込みのセキュリティ制御やツールも異なるため、一貫した保護を実現するのは困難です。
• クラウドスキルへのアクセス: 56%の組織が、マルチクラウド環境全体で一貫したセキュリティを導入・管理するために必要なスキルの習得に苦労しています。 そのためには、各環境に関する深い専門知識が必要であり、環境の数が増えるにつれて困難になります。
• ソリューションの統合: マルチクラウド環境には、複数のベンダーが提供するさまざまなソリューションが含まれます。 50%の組織が、セキュリティソリューションがどのように連携するかを理解するのに苦労しています。
• 可視性と制御の喪失: クラウドでは、責任共有モデルとベンダー制御のインフラストラクチャへの依存により、可視性と制御を実現することは困難です。 46%の組織が、マルチクラウド環境で作業する際の大きな課題としてこれを挙げています。

#2.クラウドプロバイダー

組織の4分の3以上(76%)が2つ以上を使用しています クラウド・サービス・プロバイダー、4分の1近く(24%)が5つ以上使用しています。 このクラウドインフラストラクチャの複雑さにより、これらのクラウド環境を一貫して監視し、保護することが困難になっています。 さらに、半数以上(54%)の組織が、自社のクラウドプロバイダーに組み込まれているセキュリティ製品は、サードパーティベンダーのソリューションほど効果的ではないと考えています。

マルチクラウド環境のセキュリティ保護は複雑であるため、次のような組織の主要なセキュリティ目標の達成が困難になる可能性があります。

• クラウドの設定ミスの防止: ベンダー固有のセキュリティ設定が多数あるため、すべてが正しいことを確認するのは困難です。
• 既に使用されている主要なクラウドアプリのセキュリティ保護: COVID-19によるクラウドへの急速な移行により、多くのセキュリティチームが追い上げを余儀なくされました。
• 法規制の遵守: 急速なデジタルトランスフォーメーションと規制環境の拡大により、コンプライアンスは複雑になっています。
• マルウェアに対する防御: 企業がクラウドに焦点を移すにつれて、サイバー脅威アクターもクラウドに重点を移し、クラウドでのマルウェア管理が優先事項になっています。

#3.自動化とオーケストレーション

組織が複雑なマルチクラウド展開に移行する際、セキュリティを大規模に維持するには自動化とオーケストレーションが不可欠です。 組織は、次のようなさまざまなセキュリティツールを使用して、セキュリティ制御とプロセスの実装を支援します。

• Infrastructure as Code (IaC) と Security as Code (Terraform または AWS CloudFormation) のテンプレート化 48%
• サーバーレス テクノロジ (Lamba または Azure Functions): 44%
• 継続的インテグレーションとデリバリー(CI/CD)プラグイン(JenkinsまたはTeamCity):44%
• SOAR(Security Orchestration, Automation, and Response)ツール:41%
• 構成オーケストレーションツール(ChefまたはAnsible):41%
• Webアプリケーションファイアウォール (WAF):5%

#4.DevOpsサイクル

ソフトウェア開発ライフサイクル (SDLC) の初期段階にセキュリティを統合してセキュリティをシフトレフトすることで、規制コンプライアンス要件に違反する脆弱性やコードのコストと影響を大幅に削減できます。 組織は、DevOpsセキュリティとコンプライアンステストをSDLCのさまざまな段階に実装します。

• システムのテストと生産:52%
• 機能開発と単体テスト: 42%
• ステージング:42%
• テストなし:10%
• その他:27%

#5.オペレーショナル・セキュリティ

クラウドのセキュリティ保護は、特に複雑なマルチクラウド環境では困難な場合があります。 組織がクラウドワークロードをセキュリティで保護しようとするときに直面する最大の課題には、次のようなものがあります。

• 有能なスタッフの不足: サイバーセキュリティ業界は深刻なスキル不足に直面しており、専門的なスキルセットを見つけることはさらに困難です。 その結果、組織の半数以下(45%)が、重要なクラウドセキュリティの役割を担う有能な人材を見つけています。
• コンプライアンス： ほとんどの組織は、さまざまなコンプライアンス規制の対象となっており、規制環境は急速に拡大しています。 組織がクラウドに移行するにつれて、39%が、このまったく異なるIT環境で規制コンプライアンスを達成、維持、実証することが大きな課題であると述べています。
• インフラストラクチャセキュリティの可視性の欠如: クラウド デプロイメントは、セキュリティの責任がクラウド プロバイダーと顧客の間で分割される責任共有モデルの下で運用されます。 インフラストラクチャスタックの下位レイヤーでの可視性と制御がなく、従来のセキュリティソリューションを導入できないため、組織の35%は、基盤となるセキュリティインフラストラクチャの重要な可視性を実現するのに苦労しています。
• 設定ミスの特定が困難: 各クラウドプラットフォームには独自のセキュリティ構成があり、ほとんどの組織は複数のクラウドプロバイダーと連携しています。 33%の組織では、クラウド環境が複雑なため、攻撃者に悪用される前に設定ミスを迅速に特定して修正することが困難であると回答しています。
• 一貫性のあるセキュリティポリシーの設定: 複数のクラウド環境を持つ組織は、さまざまな組み込みのセキュリティツールや設定に直面しています。 その結果、32%の企業が、クラウドインフラストラクチャ全体で一貫したセキュリティポリシーを維持することが大きな課題であると主張しています。
• クラウドセキュリティの自動化: クラウドベースのリソースに対するサイバー攻撃のリスクと影響を最小限に抑えるには、継続的かつ自動化されたセキュリティ制御が不可欠です。 しかし、31%の組織がこれらの自動制御の実装に苦労しています。
• 自動セキュリティ適用: マルチクラウド環境の範囲では、組織の環境全体にわたってセキュリティを手動で構成して適用することは現実的ではありません。 自動適用は不可欠ですが、28%の組織にとって大きな課題として挙げられています。

#6.クラウドコンプライアンス

さまざまなデータ保護規制や業界標準への準拠は、ほとんどの組織にとって必須です。 ただし、クラウド環境のコンプライアンスポリシーの設計と実装は、オンプレミスシステムとは大きく異なります。 最大級のもの クラウド・コンプライアンス 組織が直面する課題には、次のようなものがあります。

• スタッフの知識と専門知識の欠如: クラウドコンプライアンスには、必要な制御の知識だけでなく、それらをクラウド環境に実装する方法も必要であるため、専門的な知識と専門知識が必要です。 半数以上(55%)の組織が、クラウドコンプライアンスの最大の課題として、規制とクラウドを組み合わせた知識の欠如を挙げています。
• 環境の変化: クラウドのコンプライアンスは、規制要件とクラウド環境の両方が定期的に変更されるため、継続的な課題となっています。 クラウド環境の変化にもかかわらず、継続的なコンプライアンスを維持することは、組織の43%が挙げている課題です。
• 複雑な監査: コンプライアンス監査とリスク評価は、組織がすべてのITインフラを所有し、管理しているオンプレミスでは困難な場合があります。 基盤となるインフラストラクチャへのアクセスが制限されているクラウドでこれを実現することは、組織の42%が指摘している課題です。
• コンプライアンス監視: コンプライアンスを維持するには、組織のシステムとセキュリティ管理を詳細に可視化する必要があります。 クラウドでは可視性を実現するのが難しいため、42%の組織がクラウドベースのインフラストラクチャではコンプライアンス監視が難しいと感じています。
• 要件の変更: 近年、新しい規制が急速に採用され、既存の基準が更新されています。 進化する要件に対応することは、36%の企業にとって大きな課題です。
• クラウド脆弱性管理: マルチクラウドインフラストラクチャの拡大に伴い、組織のデジタル攻撃対象領域が拡大します。 クラウドアプリやサービスの脆弱性を監視することは、データ侵害や規制違反を防ぐために不可欠です。
• コンプライアンスの自動化: マルチクラウド環境全体で複数の規制へのコンプライアンスを手動で維持し、報告することは複雑でスケーラブルではありません。 組織の 27% は、コンプライアンスの拡張と自動化がクラウド コンプライアンスの最大の課題の 1 つであると主張しています。