マカフィーがIaaSの採用とリスクに関するレポートを公開

2019年9月25日

マカフィー株式会社

マカフィーがIaaSの採用とリスクに関するレポートを公開
従来型のマルウェア攻撃とは大きく異なるクラウドでのデータ侵害
パブリッククラウド環境での設定ミスの99％が検知されておらず、
データ損失の危険に

＜主な調査結果＞
・クラウド固有のデータ侵害は、従来の典型的なマルウェア攻撃とは
　異なり、クラウド特有の機能の設定ミスを悪用

・認知されているIaaS（Infrastructure-as-a-Service）の設定ミスによる
　インシデントは1％のみ。各企業において実際には1か月あたり
　3,500件のインシデントが発生しているが、平均37件と主張

・IaaSにおけるデータ損失防止（DLP）インシデントは前年比248％増

デバイスからクラウドまでを保護するサイバーセキュリティ企業である
米国マカフィー（McAfee LLC、本社：米国カリフォルニア州）は、
本日「クラウドネイティブ：IaaSの採用とリスクに関するレポート」を公開し、
IaaS（Infrastructure-as-a-Service）におけるインシデントについて
明らかにしました。

業界アナリストによると、IaaSは、迅速且つ低コストで信頼できる
アプリケーションの構築・展開が可能なため、クラウドの中で
最も急速に成長している分野です。

調査の結果、IaaSの設定ミスの99％が見過ごされ、この新たな
「クラウド固有のデータ侵害」（Cloud-Native Breaches、以下 CNB）を
引き起す最も一般的な侵入経路に関する認識が非常に低いことが判明しました。

米国マカフィーのクラウドセキュリティ事業部
上席バイスプレジデントであるラジブ・グプタ（Rajiv Gupta）は、次のように述べています。
「IaaSの採用を急ぐあまり、多くの企業はクラウドでの
セキュリティに係る責任共有モデルを見落とし、セキュリティは
クラウドプロバイダー側が完璧に対処しているものだと考えています。
しかし、クラウドサービスの利用者がクラウド上に
置いているものに対するセキュリティは、顧客自身の責任です。
機密データのセキュリティについても同様です。
クラウド上のデータの不正侵害を防ぐためには、
クラウドセキュリティ専用のクラウドネイティブな
セキュリティツールを使用する必要があります。」

IaaSでのデータ侵害は、従来のマルウェア攻撃とは異なり、
クラウドインフラストラクチャ特有の機能を悪用して攻撃を仕掛け、
隣接するクラウドインスタンスに拡大（Expand）し、
機密データを流出（Exfiltrate）させます。

ほとんどの場合、攻撃者はクラウド環境の
設定におけるミスを悪用して侵入（Land）します。

本調査によって、セキュリティ担当者がIaaS特有の
セキュリティ問題に対応するためのツール、
特にIaaSの利用に伴う設定ミスを継続的に監査するための
ツールの必要性が明らかになりました。

今回の「クラウドネイティブ：IaaSの採用とリスクに関するレポート」により、
以下についても明らかになりました。

・セキュリティ担当者と管理者間の乖離：
調査結果は、企業の90％が設定ミスなどのIaaSの
セキュリティ問題を経験していることを示しています。

一方で、問題が発生したことはないと考えるセキュリティ担当者は、
Cレベルの上層部に比べて2倍にのぼります。
IaaSの設定ミスを監査する機能を備えるツールを利用している
企業はわずか26％で、これが可視性の欠如を示しています。

クラウド採用のスピードにより、一部のセキュリティ担当者は
遅れを取っており、彼らの管理者はより大きなリスクを認識していても、
実務担当者がCNBを防止するために必要なツールを
導入していない可能性があります。

・クラウド上のデータ損失が増加：
PCIデータが誰でも読めるようなストレージオブジェクトに
入力されるなどのIaaSのデータ損失防止（DLP）ルールにより
確認されるようなインシデントの発生は、
前年比で248％増加しています。

DLPインシデントが起こったストレージオブジェクトの42％が、
正しく設定されていませんでした。

・IaaSが新たなシャドーITに：
開発者が新しいインフラストラクチャを容易に立ち上げることが
可能なため、複数のクラウドサービスプロバイダー環境の利用が
増えており、そのような場合、IaaSのセキュリティインシデントの
追跡はますます困難になります。

回答者の76％が複数のIaaSプロバイダーを利用していると
回答していますが、データに基づく実際のクラウドの利用状況からは、
複数のIaaSプロバイダーを利用している企業は92％に上ります。

どのインフラを利用しているか企業が認識していない場合、
インシデントの発生に気づくことはなく、IaaSが新たな
シャドーITになり得ることを認識する必要があります。

本レポートのために、マカフィーは世界11ヵ国 1,000社の
企業を対象に、IaaSのセキュリティ問題について、特に多くの
顧客データや知的財産を侵害の危険にさらしている設定ミスの
問題に焦点を当てて調査を行いました。

また、McAfee MVISION Cloudなどからの数百万の
クラウドユーザーと数十億のイベントにわたる匿名化され
集約されたイベントデータを通じて、
マカフィーのお客様のIaaSの利用状況を分析しました。

＜参考情報＞
・クラウドネイティブ：IaaSの採用とリスクに関するレポート（英語）
リンク

・ビデオ: What are Cloud Native Breaches（クラウド固有のデータ侵害とは）?
リンク

・ウェブキャスト: Cloud-Native Breaches in IaaS: How They Occur and Your Best Defense
　ご登録はこちら
　→North America
　リンク
　→Europe
　リンク
　→Asia Pacific
　リンク

・ウェブキャスト: Stay Ahead of Cloud-Native Breaches
リンク

・McAfee MVISION Cloud
リンク

■マカフィーについて
マカフィーはデバイスからクラウドまでを保護する
サイバーセキュリティ企業です。業界、製品、組織、そして個人の
垣根を越えて共に力を合わせることで実現するより安全な世界を目指し、
マカフィーは企業、そして個人向けの
セキュリティ ソリューションを提供しています。
詳細は リンク をご覧ください。

* McAfee、マカフィー、McAfeeのロゴは、
　米国およびその他の国におけるMcAfee, LLCの商標又は登録商標です。
* その他の会社名、製品名やブランドは、該当各社の商標又は登録商標です。