Tenable の新しいレポート: クラウド環境の複雑さと脆弱な AI セキュリティがリスクになっている

まず悪いニュースからお伝えすると、 多くの組織はクラウドと AI を熱心に取り入れている一方で、適切なサイバーセキュリティガードレールを設定していません。従って、危険なギャップが生じています。 

良いニュースは、というと、そのような組織でも、予防的なセキュリティに移行し、環境全体の明確で統合された可視性を獲得すれば、AI とクラウドの脅威に対処できるということです。

これは、Tenable の委託により、クラウドセキュリティアライアンスとの共同で実施された新しい調査レポート「クラウドと AI に関するセキュリティの現状 2025」に記載されている重要なポイントです。

このレポートの主な調査結果と、対応対策を詳しく見ていきましょう。

DX 時代のアタックサーフェスは広範で断片化されている

セキュリティチームが直面する新たな現実とは、 オンプレミス環境や、複数のクラウドプロバイダーにまたがる環境で構成され、新しい AI ツールがあちこちで急速に導入されている、無秩序に広がる複雑な環境を保護しなければならないということです。

世界中の IT およびセキュリティの専門家 1,025 人を対象とした調査に基づくこのレポートでは、次のような調査結果が得られました。

• 82% がハイブリッド環境で働いている
• 63% が 2 社以上のクラウドプロバイダーを使い分けている
• 55% がすでに AI を使用しており、それ以外の 34% が試験的に使用している

手短に言うと、組織はクラウドと AI に熱狂していますが、多くの場合、クラウドセキュリティの対策は、この広大でまとまりのないアタックサーフェスを保護するには不十分なのです。 

主な問題点を見てみましょう。

脆弱なアイデンティティとアクセス管理

多くの組織が使用しているアイデンティティアクセス管理 (IAM) の保護手法は初歩的なものです。 ボーダーレスで雑多な環境では、アイデンティティがセキュリティの境界を構成しているため、これは問題です。 

回答者の実に 59% が、安全でないアイデンティティと危険な権限を最大のセキュリティリスクとして位置付けています。 回答者が挙げたクラウド侵害の原因上位 4 つのうち、3 つの問題がアイデンティティに関連するものでした。

• 過剰な特権を付与されたアカウントやロールなどの、過剰な権限 (31%)
• クラウド環境間で一貫性のないアクセス制御 (27%)
• 多要素認証の欠如などの、脆弱なアイデンティティハイジーン (27%)

さらに、クラウドセキュリティにおける最大の課題について尋ねたところ、クラウドチームと IAM チームの認識が一致していないこと (28%)、最小権限アクセスの適用に手を焼いていること (21%) が挙げられました。 

問題はもう 1 つあります。 組織がアイデンティティリスクの監視に使用している手法が基本的なものであり、権限の悪用や不正アクセス異常などの問題に対する追跡指標がほとんどないことです。

「このデータは、アイデンティティがよく知られた脅威であると同時に、安全な管理においてはまだ成熟途上の分野であることを示しています」と、このレポートには記されています。 

IAM のセキュリティを強化するために、レポートでは以下のことが推奨されています。

• IAM のプログラムとシステムの再構築
• クラウドチームと IAM チームの連携強化
• アイデンティティリスクとレジリエンスの、より動的な指標への移行

ママ見て、手離しで乗れるよ! 十分なセキュリティ制御のない AI の急速な採用

89% の組織が AI を使用している (55%) か、試験的に使用している (34%) ため、サイバーセキュリティチームはこれらのシステムのセキュリティを確保しようと奔走しています。 そうした中で、すでに 34% が AI 関連の侵害に見舞われています。

「組織は AI の導入を急いでいますが、リスクの在処とその軽減方法についての理解は、いまだ成熟していないように見えます」とレポートには記されています。

まず、セキュリティチームは間違ったことを心配しています。 彼らは AI モデルの操作のような新たな脅威に注目していますが、 真に注目するべきは、パッチ未適用のソフトウェア、内部関係者による脅威、設定ミス、脆弱な認証など、サイバー犯罪のよくある要因なのです。

「こうした不一致は、多くのセキュリティプログラムにおいて、AI がいまだ根本的に新しいものとして扱われており、実績のあるクラウドやアイデンティティのセキュリティ原則がこれらの新しいシステムに適用されていないことを示唆しています」とレポートには記されています。

^{(出典: Tenable の委託により、クラウドセキュリティアライアンスとの共同で開発された「クラウドと AI に関するセキュリティの現状 2025」レポート)}

その他の弱点: 事後対応型のセキュリティ、スキルのギャップ

このレポートはさらに、以下のようなクラウドと AI のセキュリティのその他の問題点について解説しています。

• スキルのギャップ: 回答者の約 3 分の 1 が、専門知識の不足を最大の課題として挙げており、これが戦略の不明瞭さ、予算不足、経営幹部によるクラウドリスクの誤解につながっています。
• 事後対応型のセキュリティ態勢: 回答者が最もよく追跡している主要業績評価指標 (KPI) は、セキュリティインシデントの頻度と深刻度です (43%)。 これは、先行的なリスク削減よりも危機対応を優先した、バックミラーを見るように過去を振り返るアプローチなのですが、ほとんどのクラウドと AI の侵害は予防可能であるため、見当違いの戦略となります。

どうすれば解決できるのか

レポートは、クラウドと AI のセキュリティの担当者に警鐘を鳴らし、断片的なツール、未成熟なアイデンティティ慣行、事後対応的な考え方からの戦略的な転換を迫っています。

すでに一部の回答者は、一元的なセキュリティ監視とリスクの優先順位付けを目的としたエクスポージャー管理の導入 (58%) や、クラウドセキュリティポスチャー管理 (57%) などの、正しい方向へと歩み始めています。

^{(出典: Tenable の委託により、クラウドセキュリティアライアンスとの共同で開発された「クラウドと AI に関するセキュリティの現状 2025」レポート)}

このレポートには、以下のような推奨事項が記載されています。

• すべてを一元的に可視化する: 統合された可視性と制御は、複雑なオンプレミス、クラウド、AI ワークロード全体を管理するための基盤となります。
• アイデンティティセキュリティを強化する: アクセス権限を必要とする、人間と人間以外のすべてのアイデンティティのガバナンスを強化します。
• 対処だけでなく、予防に重点を置く: 進化する脅威の先を行くには、事後対応型のセキュリティから事前対策型のセキュリティへの移行が鍵となります。

「セキュリティの成熟度を高めるには、戦略的な連携とリスク主導の計画が決め手となります。 ポイントソリューションや事後対応型の運用から脱却する組織は、進歩を続けるクラウド環境や AI 環境のセキュリティを確保するための態勢を、より万全に整えることができるようになるでしょう」と、レポートには記されています。

今すぐ「クラウドと AI に関するセキュリティの現状 2025」レポートをダウンロードして、AI とクラウドのセキュリティに関するインサイトの全容をご覧ください!