Tenable ブログ
ブログ通知を受信する
Tenable のクラウドセキュリティ調査の驚くべき結果: 調査対象組織の 95% が 18 か月間にわたってクラウド環境における侵害の被害を受けていた
「Tenable 2024 年クラウドセキュリティの展望」の調査結果は、先行的で堅牢なクラウドセキュリティが必要であることを明確に示しています。 この記事では、クラウドセキュリティチームが直面する主な課題、クラウドインフラをより適切に保護するための戦略、成果を測定するために使用するツールなど、調査結果について詳しく解説します。
Tenable は、パブリッククラウド環境の保護における組織の認識と経験についての年次評価である「2024 年のクラウドセキュリティ展望」レポートをこのたび公開しました。 このレポートは、北米と欧州のクラウドセキュリティ専門家 600 人を対象に調査したもので、回答者を悩ませている問題、そういった課題に対処するために設定した優先事項、成果を測定するために使用しているツールを探っています。 同業者がクラウド環境の複雑さにどのように対処しているかを理解し、自社のセキュリティ確保のための戦略的かつ効果的な道筋を立てるために、このレポートが一助となることを願っています。
この記事では当レポートの主要なハイライトをご紹介いたします。
クラウドの侵害が蔓延、その主な原因は安全でないアイデンティティ
毎年、この調査ではクラウド関連の侵害の影響を受けている回答者の数を調査しています。 私たちはいつも楽観的に物事を捉える傾向があります。 クラウドセキュリティに対する認識が広がり、ツールの選択肢が大幅に増えたことで、侵害件数は今や減少傾向にあるか、少なくともある程度は侵害に耐性ができたと考えたいものです。しかし、調査対象 600 人の専門家の 95% が組織で過去 18 か月間にクラウド関連の侵害を経験したという不安な事実が判明しました。 (ある程度予想どおりながら) そのうち 92% が機密データの露呈を報告し、大半がデータの露呈による被害を認めています。
クラウドの世界では侵害は避けられないものと考えられているので、クラウドセキュリティプラットフォームで、脆弱な侵入口にフラグを立てるだけでなく、侵入したハッカーによる被害を最小限に抑えようとするのは当然のことです。 そこで私たちが知りたかったのは、クラウドセキュリティ専門家は何を最大のリスク原因として認識しているのか、ということでした。ワークロードの脆弱性、ランサムウェア攻撃、それともサードパーティによるアクセスでしょうか? その結果は最新の業界知見と合致しました。即ち、 回答者が主なセキュリティリスクとして挙げたのは、安全でないクラウドアイデンティティと設定ミスです。そして、クラウド関連の侵害を経験した組織の 99% が、安全でないアイデンティティを主な原因として挙げています。
私たちはアイデンティティとアクセスについて掘り下げ、組織が「安全でない ID およびアクセス管理 (IAM) 」をクラウドセキュリティの最大の脅威として認識しているかどうかだけでなく、何らかの対策を講じているかどうかを確認しました。 回答者の多くがゼロトラスト、アクセスガバナンス、ジャストインタイム (JIT) の取り組みを通じて権限を最小限に抑えることを優先的に行っていると答え、これは優秀でした。
特に重要な調査結果
このレポートでは、クラウドインフラの保護 (特にリソースへのアクセスの管理) について次の 3 つの観点に焦点を当てています。
- クラウドインフラの保護は極めて困難。 組織に対して、クラウドセキュリティプログラムを実装する際に直面する主な障壁、課題、リスクを分類するよう尋ねました。
- 最も重要な対策。 多くのセキュリティ領域や取り組みのなかで、組織がその年に優先しているのはどれか、その優先事項は報告されている重大リスクと一致しているかどうかを確認しました。
- 測定は嘘をつかない。 パフォーマンス指標は、契約更新や新規ソリューションのための予算の正当化はもちろん、クラウドセキュリティの進歩や成熟度の評価とも密接に関連しています。 私たちは使用されている測定ツールと、最もよく使われているツールについて調べました。
その他の重要な調査結果としては以下があります。
- 修正機能の欠如が、クラウドセキュリティの新機能を導入する際の最大の障壁である
- クラウドセキュリティに関する専門知識の欠如は、単なる「アナリストの指摘」ではなく、現実的に組織を危険にさらしている
- 組織内におけるクラウドセキュリティの責任の所在の不明確さは極めて高い
地域的な差
調査結果により、たとえばクラウド関連の侵害が発生していないと報告する傾向が他よりも高い地域など (ちなみに北米です)、地域的な差がいくつか 明らかになりました。 侵害の原因にも地域差がありました。 EU では、米国に比べるとクラウド侵害が「過剰な権限」や「有害な組み合わせの検出の難しさ」に起因すると判定する傾向がはるかに高いようです。
回答者がクラウドセキュリティの新機能を実装できるかどうかについて、DevOps チームが与える影響に関しても、地域的な差が見られました。 セキュリティ対策によりワークフローが中断されるのではないかという DevOps チームの懸念を障壁として挙げた回答者は、北米の方が欧州よりもはるかに多くなりました。
今すぐレポートを入手する
このブログをきっかけとして、クラウドセキュリティのインサイトとベストプラクティスにご興味をお持ちいただければ幸いです。 ぜひレポートをダウンロードしてご覧ください。内容は以下のとおりです。
- クラウド関連の侵害の蔓延についてや、機密データが危険にさらされている度合いだけでなく、どの程度の悪影響を及ぼしているかを把握できます。
- 世界や地域のクラウドセキュリティ専門家が抱える悩みと阻害要因、またすべての専門家に共通する問題について理解できます。
- 他の専門家が懸念事項に対処するために何を優先しているかを理解すると、より効果的なクラウドセキュリティ対策の優先事項を決める近道になります。
もっと詳しく
関連記事
Cybersecurity Snapshot: NIST Program Assesses How AI Systems Will Behave in the Real World, While FBI Has Troves of Decryption Keys for LockBit Victims
June 7, 2024Check out the new ARIA program from NIST, designed to evaluate if an AI system will be safe and fair once it’s launched. Plus, the FBI offers to help LockBit victims with thousands of decryption keys. In addition, Deloitte finds that boosting cybersecurity is key for generative AI deployment success. And why identity security is getting harder. And much more!
These Services Shall Not Pass: Abusing Service Tags to Bypass Azure Firewall Rules (Customer Action Required)
June 3, 2024Azure customers whose firewall rules rely on Azure Service Tags, pay attention: You could be at risk due to a vulnerability detected by Tenable Research. Here’s what you need to know to determine if you’re affected, and if so, what you should do right away to protect your Azure environment from attackers.
Cybersecurity Snapshot: 6 Best Practices for Implementing AI Securely and Ethically
May 31, 2024Like many organizations, yours is likely using AI – or at least thinking about deploying it soon. But how can you ensure you use it securely, responsibly, ethically and in compliance with regulations? Check out best practices, guidelines and tips in this special edition of the Tenable Cybersecurity Snapshot!
CVE-2024-4577: Proof of Concept Available for PHP-CGI Argument Injection Vulnerability
June 7, 2024Researchers disclose a critical severity vulnerability affecting PHP installations and provide proof-of-concept exploit code, which could lead to remote code execution.
Cybersecurity Snapshot: NIST Program Assesses How AI Systems Will Behave in the Real World, While FBI Has Troves of Decryption Keys for LockBit Victims
June 7, 2024Check out the new ARIA program from NIST, designed to evaluate if an AI system will be safe and fair once it’s launched. Plus, the FBI offers to help LockBit victims with thousands of decryption keys. In addition, Deloitte finds that boosting cybersecurity is key for generative AI deployment success. And why identity security is getting harder. And much more!
Tenable Partners with CISA to Enhance Secure By Design Practices
June 6, 2024When CISA called on the world’s leading software manufacturers to sign its Secure by Design Pledge, Tenable answered promptly and enthusiastically, becoming part of the first wave of supporters of this landmark initiative. In this blog post, Tenable CSO, Head of Research and President of Public Sector Robert Huber explains the significance of this pledge for the software industry, as well as for Tenable and for our customers.
- Cloud
- Cloud