Tenable ブログ
ブログ通知を受信する
クラウド採用プロセスにおける意思決定者の主要な課題についての意見
船頭多くして船山に上る - アイデンティティ、システム、人員が多すぎると、取り組むべきことが曖昧になります。
クラウドの意思決定者の 3 分の 2 以上 (68%) が、自社のクラウド実装 (特にパブリックインスタンスとハイブリッドインスタンス) が、組織にとって最もリスクにさらされている領域であると述べています。そして、これらのシステムに対するアクセス権限の管理が大きな課題でもあります。
これらは、組織のクラウドインフラに関する最終的な意思決定権限を持つ IT およびセキュリティの専門家 262 人を含む委託調査の結果、判明しました。Tenable が Forrester Consulting に委託して 2023 年に実施したこの調査では、クラウドの意思決定者が、下記の 4 つの主要領域に最もエクスポージャーリスクがあると考えていることがわかりました。
- 組織全体で使用されているクラウドインフラとクラウドサービスの設定ミス (68%)
- 組織全体で使用されているビジネスまたは IT ソフトウェアの欠陥 (62%)
- 組織がユーザー権限とアクセスの管理に使用しているツールの設定ミス (60%)
- 組織全体で使用されているオペレーショナルテクノロジーソフトウェアの欠陥 (46%)
リスクに対するエクスポージャーの評価に関しては、クラウドの意思決定者は IT の他の領域よりクラウドをはるかに懸念していることがわかりました。
リスクエクスポージャーが最も高いのは、以下のどの領域ですか?
| テクノロジー | 回答者の割合 (%) |
| パブリッククラウドインフラ1 | 29% |
| マルチクラウド/ハイブリッドインフラ2 | 28% |
| モノのインターネット (IoT) | 15% |
| プライベートクラウドインフラ | 11% |
| クラウドコンテナ管理ツール | 9% |
| オンプレミスインフラ | 5% |
| オペレーショナルテクノロジー/産業用制御システム (ICS)/監視制御およびデータ収集システム (SCADA) | 3% |
1パブリッククラウドは、Amazon Web Services (AWS)、Google Cloud Platform (GCP)、Microsoft Azure などの単一のパブリッククラウドプロバイダーである場合があります。
2マルチクラウド/ハイブリッドは、2 つ以上のパブリッククラウドおよび/またはプライベートクラウドの組み合わせです。
回答者: 組織のクラウドインフラ/アーキテクチャに関する最終的な意思決定権限を持つ 262 人の IT およびセキュリティの専門家
出典:2023 年に Tenable が Forrester Consulting に委託して実施した調査
クラウドの意思決定者は今後 1 年、どこに投資するのか?
現在、ほとんどの組織で、仮想マシンやコンテナ、顧客関係管理 (CRM) や人事管理システムなど、さまざまなクラウドベースのインフラおよびビジネスシステムが使用されています。
クラウドにおけるテクノロジー導入関連の投資分野に関して、回答者は、今後 12 か月間で導入を拡大する予定のテクノロジーの上位 3 種類として、サーバーレス機能、仮想マシン、コンテナを挙げました。
ご自身の組織で現在用いているクラウドインフラテクノロジーは、次のうちどれですか?
| テクノロジー | クラウドに興味なし | 興味はあるがクラウドで実装する予定はない | 今後 12 か月以内にクラウドでの実装を計画 | クラウドで実装するが、拡張/アップグレードはなし | クラウド利用の拡大またはアップグレード中 | クラウドの利用を削減または削除中 |
| サーバーレス関数 | 8% | 21% | 39% | 24% | 7% | 0% |
| 仮想マシン | 3% | 14% | 33% | 34% | 13% | 3% |
| コンテナ | 2% | 11% | 32% | 35% | 16% | 3% |
| 人事管理 | 2% | 12% | 26% | 40% | 18% | 2% |
| Eメール | 2% | 5% | 25% | 35% | 26% | 7% |
| 金銭的利益 | 3% | 11% | 25% | 32% | 24% | 6% |
| IT サービス管理 (ITSM) | 0% | 5% | 24% | 34% | 30% | 8% |
| エンタープライズリソースプランニング (ERP) | 1% | 4% | 17% | 37% | 32% | 9% |
| 顧客関係管理 (CRM) | 0% | 6% | 14% | 42% | 28% | 10% |
回答者: 組織のクラウドインフラ/アーキテクチャに関する最終的な意思決定権限を持つ 262 人の IT およびセキュリティの専門家
出典:2023 年に Tenable が Forrester Consulting に委託して実施した調査
データ、サイロ、関係者が多すぎる
ほとんどの組織で複雑なクラウドベースのエコシステムが導入されていることを考えると、クラウドの意思決定者が全体的なリスクエクスポージャーの判断に用いるデータソースのうち、クラウドの調査結果を最も重点的に見ているのは、驚くべきことではありません。しかし、クラウドの調査結果が唯一の情報源というわけではありません。脅威インテリジェンスフィード、脆弱性の開示、インシデント対応力評価の結果も、データクラウドの意思決定者が頼っている情報源の 1 つです。
所属する組織が総合的なリスクエクスポージャーを特定するために使用しているのは、以下のデータソースのうちどれですか?
| データソース | 回答者の割合 (%) |
| クラウドの調査結果 | 69% |
| 脅威インテリジェンスフィード | 55% |
| 脆弱性開示 | 52% |
| インシデントレディネス評価の結果 | 52% |
| ペネトレーションテストの結果 | 47% |
| 外部アタックサーフェスの調査結果 | 42% |
| ユーザープロファイルと権限 | 35% |
| オペレーショナルテクノロジーの調査結果 | 31% |
| 資産インベントリ | 26% |
複数回答可
回答者: 組織のクラウドインフラ/アーキテクチャに関する最終的な意思決定権限を持つ 262 人の IT およびセキュリティの専門家
出典:2023 年に Tenable が Forrester Consulting に委託して実施した調査
複数のサイロ化されたシステムからこのすべてのデータを集約する作業は、時間を要し、複雑です。実際、組織のサイロ化、データハイジーンの欠如、予防的ではない事後対応的なサイバーセキュリティ対策への傾倒はすべて、クラウドセキュリティに関する問題と関係があります。具体的には、以下の通りです。
- クラウドの意思決定者の 10 人中 7 人 (70%) が、組織のサイロ化されたシステムがユーザーデータの取得に対する障壁となっていると回答
- 半数が、組織にはユーザーデータを脆弱性管理の実践に統合する効果的な方法がないと回答
- 半数以上 (55%) が、組織のユーザー データと脆弱性管理システムの両方が衛生的でないことから、従業員が優先順位を決定するのに役立つ質の高いデータを引き出すことができないと回答
- 10 人中 6 人 (58%) が、サイバーセキュリティチームは重大なインシデントへの対処に忙殺されており、組織のリスクを軽減する予防的なアプローチを取ることができないと回答
- ほぼ 4 分の 3 (74%) が、予防的なサイバーセキュリティ対策により多くのリソースを投入すれば、組織はサイバー攻撃に対する防御力を高められると回答
さらに問題を複雑にしているのは、アイデンティティおよびアクセス管理システムを監督するのに、IT およびセキュリティ運用、リスク、コンプライアンス、ガバナンスの専門家チームがそれぞれ関与しており、チームワークが要求されることです。回答者の大多数 (67%) は、3 つ以上のアイデンティティおよびアクセス管理システムを導入しています。これらのシステムの管理に、IT 運用 (77%)、セキュリティ運用 (61%)、アイデンティティとアクセス (53%)、リスクとコンプライアンス (36%)、ガバナンス (32%) の 5 つの異なるタイプのチームが関与していることもあります。
ご自身の組織で使用しているアイデンティティおよび権限管理システムは、誰が管理していますか?
| チーム | 回答者の割合 (%) |
| IT 運用 | 77% |
| セキュリティ運用 | 61% |
| アイデンティティおよびアクセスチーム | 53% |
| リスク およびコンプライアンス | 36% |
| 企業統治 | 32% |
| 自組織にはアイデンティティおよび権限管理システムがない | 2% |
| その他 | 1% |
複数回答可
回答者: 組織のクラウドインフラ/アーキテクチャに関する最終的な意思決定権限を持つ 262 人の IT およびセキュリティの専門家
出典:2023 年に Tenable が Forrester Consulting に委託して実施した調査
さらに、調査対象となったクラウドの意思決定者のほとんどは、DevSecOps、脆弱性管理、さらにはセキュリティオペレーションセンター (SOC) など、他の多くの主要分野の最終意思決定者であり、複数の役割を担っていることがわかっています。
この取り組みに関する最終決定者が自分である
| 実践 | 回答者の割合 (%) |
| DevSecOps | 61% |
| 脆弱性管理 | 58% |
| セキュリティオペレーションセンター (SOC) | 57% |
| SaaS アプリケーション/ツール | 56% |
| IT 運用 | 56% |
| アイデンティティアクセス/権限管理 | 53% |
| DevOps | 53% |
回答者: 組織のクラウドインフラ/アーキテクチャに関する最終的な意思決定権限を持つ 262 人の IT およびセキュリティの専門家
出典:2023 年に Tenable が Forrester Consulting に委託して実施した調査
とはいえ、テクノロジー導入のほとんどの段階において、サイバーセキュリティは蚊帳の外に置かれることがよくあります。
ご自身の組織のサイバーセキュリティチームは、次の実装段階において、どれくらいの頻度で取り組んでいますか?
| ステージ | 一度もない | ほとんどない | 時々 | たいてい | いつも |
| アーキテクチャの確認 | 1% | 10% | 38% | 35% | 15% |
| 範囲の設定 | 2% | 16% | 41% | 32% | 9% |
| 提案依頼 (RFP) | 3% | 10% | 31% | 35% | 21% |
| ベンダー評価/概念実証 (PoC) | 2% | 10% | 33% | 31% | 24% |
| 導入および設定 | 0% | 5% | 27% | 42% | 26% |
| ユーザー権限とアクセス管理 | 0% | 2% | 23% | 38% | 35% |
| 継続的なベンダーの管理とメンテナンス | 1% | 9% | 27% | 40% | 23% |
| ガバナンスと例外管理 | 1% | 11% | 21% | 45% | 22% |
回答者: 組織のクラウドインフラ/アーキテクチャに関する最終的な意思決定権限を持つ 262 人の IT およびセキュリティの専門家
出典:2023 年に Tenable が Forrester Consulting に委託して実施した調査
クラウドの意思決定者にとってのもう 1 つの懸念分野は、DevOps です。10 人中 4 人 (42%) が、組織の DevOps チームがコード開発プロセスでセキュリティを優先していないと回答しています。
回答者に関する詳細
調査回答者は、IT (65%) およびサイバーセキュリティ (35%) に携わるクラウドの意思決定者を代表しています。彼らは経営幹部ではなく、管理職になる可能性が高いです。IT とセキュリティ戦略に深く関わっているためです。
ご自身の現在の役職/部門を最もよく表しているものは、次のうちどれですか?
| 役職/部門 | 回答者の割合 (%) |
| IT | 65% |
| サイバーセキュリティ/infosec | 35% |
回答者: 組織のクラウドインフラ/アーキテクチャに関する最終的な意思決定権限を持つ 262 人の IT およびセキュリティの専門家
出典:2023 年に Tenable が Forrester Consulting に委託して実施した調査
組織内でのご自身の立場を最もよく表す肩書はどれですか?
| タイトル | 回答者の割合 (%) |
| 社内の IT またはセキュリティの最上級意思決定者 (CIO、CISO、CTO など) | 22% |
| ビジネス情報セキュリティ責任者 (BISO) | 3% |
| IT またはセキュリティ担当本部長 | 40% |
| IT またはセキュリティ担当取締役 | 35% |
回答者: 組織のクラウドインフラ/アーキテクチャに関する最終的な意思決定権限を持つ 262 人の IT およびセキュリティの専門家
出典:2023 年に Tenable が Forrester Consulting に委託して実施した調査
組織では、IT/セキュリティ戦略における次の領域の設定、管理、実装に、ご自身がどの程度関与していますか?
| 領域 | わずかに関与 | それなりに関与 | 大きく関与 |
| 予算 | 1% | 45% | 53% |
| パフォーマンス指標 | 0% | 40% | 59% |
| ビジネス戦略 | 0% | 48% | 52% |
回答者: 組織のクラウドインフラ/アーキテクチャに関する最終的な意思決定権限を持つ 262 人の IT およびセキュリティの専門家
出典:2023 年に Tenable が Forrester Consulting に委託して実施した調査
クラウドのセキュリティリスクを軽減するための 4 つの推奨事項
複雑なクラウドインフラを保護するには、人材、プロセス、テクノロジーのさまざまな課題に対処する必要があります。まず取り組むべき、4 つの推奨事項を次にご紹介します。
- サイロの解体。さまざまなビジネス部門間でクラウドセキュリティを標準化する計画を策定し、セキュリティ、IT、DevOps、DevSecOps のチームが使用可能な単一の参照点を作成してください。組織全体のユーザー、システム、資産間の関係を迅速に判断して、それらのリスクを実際に特定して対処できる状態を作れていますでしょうか。それとも、サイロ化されたシステムが障壁となって、そのようなデータをクラウドのセキュリティ実践に効果的に統合することが難しくなっていませんか。標準化により、IT、セキュリティ、開発チーム間の摩擦を最小限に抑え、誰もが理解できる正確な推奨事項に基づいた、迅速な意思決定を確実に行えるようになります。
- アタックサーフェスを視覚的にマッピング。所有しているクラウド資産の把握は、始まりにすぎません。ネットワーク上の各資産の設定、デジタルアイデンティティ、関連する権限を可視化する必要があります。資産、設定、アイデンティティに関する文脈を得られてこそ、セキュリティチームがリスク緩和に向けた的を絞った推奨事項を導き出し、正確な分析を実行するのに必要な可視性を得られます。
- マルチクラウドの問題に対処。アマゾンウェブサービス (AWS)、Google クラウドプラットフォーム (GCP)、Microsoft Azure などの主要なパブリッククラウドプロバイダーはそれぞれ、クラウドコンポーネントの管理と設定が異なることから、継続的なセキュリティ監視体制に不一致が生じます。すべてのパブリッククラウドプロバイダーからの情報を、一元的な監視および管理スペースに統合することを検討してください。これを実現するには、クラウドプロバイダーのインフラや権限モデルなど、機能するさまざまなメカニズムを理解する必要がありますが、統合された正確な緩和推奨事項の基礎を築くのに役立ちます。
- 自動化されているソリューションを探す。自動化されているクラウドセキュリティソリューションの場合、チームに深い技術的ノウハウがなくても、組織のリスクエクスポージャーの継続的な分析や、便利かつ実用的な形での結果の提示が容易です。そのようなセキュリティツールを利用することで、複雑な中でもリスクの理解、調査、対処が可能となります。適切なソリューションを使用することにより、クラウド資産、ユーザー、設定の完全な可視化、すべてのパブリッククラウドプロバイダーからの情報の一元的な監視および管理スペースへの統合、リスクの深刻度に基づいた優先順位付けと緩和が可能になります。自動化は、リソースが不足しているセキュリティチームにとっての心強い味方となります。
最適なクラウドセキュリティソリューションを探す際は、複雑さとリスクを軽減できるソリューションに焦点を当てる必要があります。ユーザーフレンドリーであり、さまざまなビジネス部門全体でクラウドセキュリティを標準化できるようなクラウドソリューションが適切です。堅牢なソリューションはアドバイザーの役割を果たし、即刻対応すべき脆弱性や設定ミスについてインサイトを提供します。また、状況に応じた豊富なリスクの優先順位付けと、緩和に関する情報に基づいた意思決定を助ける実用的な洞察と、修復を自動化および加速するツールも提供します。
関連記事
Cybersecurity Snapshot: Latest MITRE ATT&CK Update Offers Security Insights on GenAI, Identity, Cloud and CI/CD
April 26, 2024Check out what’s new in Version 15 of the MITRE ATT&CK knowledge base of adversary tactics, techniques and procedures. Plus, learn the latest details about the Change Healthcare breach, including the massive scope of the data exfiltration. In addition, why AI cyberthreats aren’t impacting CISOs’ budgets. And much more!
Cybersecurity Snapshot: Cyber Agencies Offer Secure AI Tips, while Stanford Issues In-Depth AI Trends Analysis, Including of AI Security
April 19, 2024Check out recommendations for securing AI systems from the Five Eyes cybersecurity agencies. Plus, Stanford University offers a comprehensive review of AI trends. Meanwhile, a new open-source tool aims to simplify SBOM usage. And don’t miss the latest CIS Benchmarks updates. And much more!
Cybersecurity Snapshot: CISA Says Midnight Blizzard Swiped U.S. Gov’t Emails During Microsoft Hack, Tells Fed Agencies To Take Immediate Action
April 12, 2024Check out CISA’s urgent call for federal agencies to protect themselves from Midnight Blizzard’s breach of Microsoft corporate emails. Plus, a new survey shows cybersecurity pros are guardedly optimistic about AI. Meanwhile, SANS pinpoints the four trends CISOs absolutely must focus on this year. And the NSA is sharing best practices for data security. And much more!
Cybersecurity Snapshot: Latest MITRE ATT&CK Update Offers Security Insights on GenAI, Identity, Cloud and CI/CD
April 26, 2024Check out what’s new in Version 15 of the MITRE ATT&CK knowledge base of adversary tactics, techniques and procedures. Plus, learn the latest details about the Change Healthcare breach, including the massive scope of the data exfiltration. In addition, why AI cyberthreats aren’t impacting CISOs’ budgets. And much more!
CVE-2024-20353, CVE-2024-20359: Frequently Asked Questions About ArcaneDoor
April 25, 2024Frequently asked questions about CVE-2024-20353 and CVE-2024-20359, two vulnerabilities associated with “ArcaneDoor,” the espionage-related campaign targeting Cisco Adaptive Security Appliances.
CVE-2024-4040: CrushFTP Virtual File System (VFS) Sandbox Escape Vulnerability Exploited
April 23, 2024A zero-day vulnerability in CrushFTP was exploited in the wild against multiple U.S. entities prior to fixed versions becoming available as the vendor recommends customers upgrade as soon as possible.
- Cloud
- Cloud
- Exposure Management