非営利組織であるクラウドセキュリティアライアンス(CSA)は、最近、クラウドセキュリティプラクティスの現状に関する調査結果を発表した。
調査「クラウドセキュリティの懸念、課題、インシデントの現状」は、約1,900人のInfoSec実践者の経験と展望を反映している。回答者は、世界中のさまざまな市場セグメントを代表している。
作業の41%以上をパブリッククラウドで実行している回答者の数は、2019年の25%から2021年の50%へと2年間で倍増した。さらに、回答者の63%は、今年41%のしきい値を超えると予想している。
明らかに回答者の大多数は、クラウドプロバイダーのセキュリティ機能を使用している。74%が「ネイティブのセキュリティコントロール」を使用している。印象的なことに、71%がプロバイダーが提供する「追加のセキュリティコントロール」を使用している。
Amazon Webサービス、Microsoft Azure、Google Cloud Platformは、IDアクセス管理や暗号化などの基本的な機能を長い間提供してきた。3つのプロバイダーはすべて、DDoSからの高度な防御、ハードウェアセキュリティモジュール、IoTデバイスのマネージドセキュリティをサポートするように拡張されている。
それでも、この調査は、より優れたセキュリティ機能の必要性を示唆している。調査回答者のほぼ半数(49%)が、パブリッククラウドのデプロイを保護するために従来のファイアウォールの仮想エディションを使っている。さらに、22%は、保護を強化するためにホストベースの施行ツールを使用している。
CSAは、クラウドの複雑さは今後も増すと予測している。幅広いマルチクラウドの使用とさまざまなランタイムオプションにより、システム管理がさらに複雑化する。
したがって、回答者は動的なクラウド環境を管理するための追加のツールを求めている。最大の要望は、「ハイブリッドネットワークエステート全体(マルチクラウドとオンプレミス)のクリアな可視性(トポロジ、ポリシー)」である。その他の優先事項には、ネットワークリスクと設定ミスのリスクの予防的な検出がある。
パブリッククラウドサービスの伸びは、パブリッククラウドの支出に関する最近の予測を裏付けているようである。Gartner Researchは、パブリッククラウドの支出は「2020年の2,575億ドルから、2021年には18.4%増加して合計3,049億ドルになる」と予測している。Cloud Native Computing FoundationとFlexeraの調査でも、パブリッククラウドの使用が急速に増加していることがわかった。
回答者は、パブリッククラウドのフットプリントの拡大に大いに満足していた。パブリッククラウドプロバイダーは、4つの領域(コストの削減、アジリティと弾力性の向上、DevOpsフレンドリー、稼働時間の改善)で期待と同じレベルで応えたか、わずかにそれを上回った。
時間の経過に伴うパブリッククラウドの使用量(ワークロードの割合)。1,900人近くの実務家を対象とした調査によるもの。出典:「クラウドセキュリティの懸念、課題、インシデントの現状」
パブリッククラウドのセキュリティに対する責任は曖昧に見え、明確なコンセンサスはなかった。最も人気のある選択肢は、セキュリティ運用(35%)、クラウドチーム(18%)、IT運用(16%)であった。「DevSecOps」に対する業界の会話が増えているにもかかわらず、DevOpsのエンジニア/マネージャー(9%)は5位につけている。
最近のインタビューで、CSAのリサーチ担当グローバルバイスプレジデントであるJohn Yeoh氏は、クラウドセキュリティの当事者意識はまだ発展中であると述べた。
回答者は、違反や停止に関する質問にも回答した。複数の回答者は、侵害が発生したかどうかについて確信を持っていなかった(41%)。これは、18%しか確信が持てなかった2019年からの顕著な増加である。
調査では、インシデントの根本原因について質問された。上位の回答は、クラウドプロバイダーの問題(26%)、セキュリティの設定ミス(22%)、サービス拒否などのセキュリティ攻撃(20%)であった。CSAは、「トップコントリビューターの何人かはヒューマンエラーや設定ミスに紐づく可能性がある」という前提を置いた。
設定ミスは重要な問題として長い間、そびえ立つものである。ガートナーは最近、2023年までに「セキュリティ障害の75%は、ID、アクセス、特権の不適切な管理に起因する」と予測した。これは、2020年の50%からの増加である。
最も破壊的な停止の重要度は、1メトリック高いままであった。CSAのデータによって、回答者の25%以上が、最も破壊的なインシデントの解決に3時間以上かかっていることが示されている。この数字は2019年以来一定である。
CSAは、2020年12月から2021年1月までオンラインで調査を実施した。この組織は定期的にレポートとホワイトペーパーを作成し、調査を実施している。この調査はすべてクラウドコンピューティングに関連している。
完全な調査結果は、クラウドセキュリティアライアンスのWebサイトで入手できる。そのためには登録が必要である。調査結果を要約したWebキャストはオンデマンドで利用できる。