マカフィーは2月4日、企業のクラウド利用状況やデータセキュリティに関する調査レポート「Cloud Adoption and Risk Report」を発表した。日本を含む11カ国の企業IT管理者1000人へのアンケートや、同社製品を利用する企業の匿名データを分析した結果などを取りまとめている。
これによると、企業が利用を許可しているクラウドサービスは平均41サービスで、前回調査から33%増加した。日本は同52サービスだった。パブリッククラウド上に機密データを保存している企業は79%で、日本は85%に上る。クラウドに保存されている機密データを含むファイルの割合は28%で、前回調査から5ポイント増加した。複数ユーザーでデータを共有している割合は49%、そのうち機密データを含む割合は12%だった。
出典:マカフィー
また、従業員の個人所有端末(BYOD)からクラウドの利用を許可している企業は79%で、日本は84%だった。企業が管理していないBYODからクラウド上の機密データを利用しているというケースは平均で4社中1社、日本では3社中1社の割合で存在していた。業界別では、特にメディア・エンターテイメントが高く、2番目の高いのは金融サービスだった。
調査結果について、セールスエンジニアリング本部長の櫻井秀光氏は、「特に、日本企業では『クラウドの方が安全』という意識が高まってきたと推察される。サービスを利用したりデータを置いたりする傾向が強まっているが、同時にセキュリティのリスクも高まっている」と指摘した。
調査では、クラウドのデータセキュリティについて、ITの職位で意識が大きく異なる状況も分かった。企業の管理下にないITの利用(通称「シャドーIT」)では、これが危険と考える経営層が62%だったのに対し、セキュリティ担当者は45%と低かった。
また、クラウド上にあるデータのセキュリティに関する責任の所在については、サービス事業者側にあると考える割合が、CISO(最高情報セキュリティ責任者)は7%、CIO(最高情報責任者)は8%、ITアーキテクトは5%だった一方、ネットワーク管理者では20%、セキュリティ管理者で15%、ITマネージャーで13%だった。
出典:マカフィー
クラウドサービスでは、サービス事業者と利用者との間で責任を負う範囲があらかじめ決められている「責任共有モデル」が採用されており、データのセキュリティについては、基本的に利用者側が責任を負うアプリケーションレイヤーに含まれる。櫻井氏は、「責任共有モデルはクラウドを利用する上で基本になり、(IT環境全体を所管する)上位役職者の認知度は高いが、現場側には浸透しておらず、もっと啓蒙していく必要がある」と話す。
マカフィー セールスエンジニアリング本部長の櫻井秀光氏
さらに、同氏は「オンプレミス(自社で所有したり管理したりするIT環境)ではしっかりセキュリティ対策を講じていても、クラウドになった途端に『どこから着手すればよいか分からない』という相談も多い。例えば、利用規約でアカウントを削除してもデータは削除しないと定めている事業者が多く、クラウドの利用を始める際にこうした基本的なところからきちんと把握することが大事だ」とも指摘している。