「クラウドはサイバー犯罪者にとって“宝の山”である」
(シマンテック 滝口博昭 マネージドセキュリティサービス日本統括)

シマンテックの滝口博昭 マネージドセキュリティサービス日本統括
シマンテックが先頃、日本を含む世界11カ国の最高情報セキュリティ責任者(CISO)1100人を対象とした「エンタープライズデータセキュリティの実態に関するCISO調査」の結果を発表した。滝口氏の冒頭の発言はその発表会見で、クラウドセキュリティへの警鐘を鳴らしたものである。
会見では、同調査において日本のCISO(100人)の回答を中心に紹介。まず、96%のCISOが「クラウドアプリケーションのコンプライアンス順守は最もストレスの多い業務の1つである」と回答しているとした。
CISOを悩ませている、業界におけるコンプライアンスの課題としては、「許可されたクラウドアプリケーションの動作の追跡」(22%)や、「国や地域共有のデータレジデンシーおよび管理に関する規則の順守」(22%)が挙がっている。
その他の懸念としては、「クラウドアプリケーションにおけるコンプライアンス規制対象データの広範な共有」(21%)、「社用モバイルデバイスのガバナンス」(19%)、「従業員による許可されていないクラウドアプリケーションの使用」(16%)などとなっている。
滝口氏はまた、クラウドアプリケーションの導入拡大と、企業が認識できていない危険なユーザー行動とがあいまって、クラウドベースの攻撃が拡大していると指摘。この点に関して、日本のCISOは社内で利用されているクラウドベースのアプリケーションのうち、平均30%は許可されていない「シャドーアプリ」になっていると回答した。
また、81%のCISOは、自社の最高経営責任者(CEO)が故意かどうかを問わず、これまでに社内セキュリティ規則に違反したことがあると考えているという。滝口氏はこの結果について、「CEOをはじめとした上級役員は自らのセキュリティに対する認識が乏しいケースが少なくないので、格好の攻撃対象になり得る」と指摘。ただ、これはCEOだけでなく、CEOの補佐役であるはずのCISOにも責任があるのではないか――そんなことを感じた調査結果だった。