2018年6月に、日本政府は「政府の情報システム構築については、クラウドを第一に考える」という「クラウド・バイ・デフォルト」の方針を発表しました。また、総務省が刊行する、2019年の情報通信白書では、クラウドを利用している企業は引き続き過半数に超えていることが発表されました。クラウドの利用は、「オンプレか、クラウドかを悩んで選択するもの」ではなく、「当然利用するもの」となりました。
そして、クラウド利用が急拡大を続ける中で、クラウドセキュリティに関する投資も急速に増加する見通しです。以下でご説明します。
IT投資が伸び悩む中、クラウドセキュリティ投資が急増
2019年10月、世界大手のIT調査会社のガートナーは「Gartner Says Global IT Spending to Grow 3.7% in 2020」というプレスリリースを発表しました。2019年から2021年までの3年間における、IT各分野の投資動向予測を発表したものです。大きなカテゴリとしては、以下の5つとなります。
- データセンターシステム: 年1%増加
- エンタープライズソフトウェア: 年10%増加
- デバイス: 年1%増加
- ITサービス: 年4%増加
- 通信サービス: 年1%増加
クラウドサービスは「エンタープライズソフトウェア」ならび「データセンターシステム」のカテゴリに特に影響しますが、物理的な箱であるデータセンターへの投資は微増であることに対して、クラウドを実現するエンタープライズソフトウェアへの投資は10%を超える伸び率となっています。
この背景としては、日中貿易摩擦などの先が見えない時代のIT投資は、「攻めの投資」よりも「守りの投資」、具体的には規制対応の優先順位が上がっていることを示しています。実際、規制対応は優先すべきIT投資課題の1位となっています。そして、クラウドセキュリティに関しては2022年以後も伸びが続き、2023年までの5年間で41.2%の伸びが見込まれています。
クラウドセキュリティが増加する背景
では、なぜクラウドセキュリティに対する投資が増加しているのでしょうか。これは、以下の理由で説明できます。
(1)クラウド自体が引き続き増加しているため
IaaS, PaaS, SaaSなどのクラウド利用自体が増加を続けているため、これらを安全に利用するためのセキュリティ投資も引き続き増加しています。2019年版情報通信白書によると、2014年から2018年の間に、企業のクラウド利用率は38.7%から58.7%に成長しています。
(出典: 2019年情報通信白書)
そして、2018年時点で14.1%の企業が「利用していないが、今後利用する予定がある」と回答しています。これを考えると、クラウド利用率にはまだ伸びしろがあり、そしてクラウドセキュリティ投資も同様に伸びしろがあります。
(2)クラウドが故のセキュリティ不安が大きいため
クラウドをまだ利用していない企業にとって、「インターネット経由で、共有環境のサーバーからサービスを利用する」という、クラウドの仕組みそれ自体に強いセキュリティ不安を感じています。同じ白書によると、クラウドサービスを利用しない理由として、1位「必要ない」の次に来るのが、「情報漏えいなどセキュリティに不安がある」となります。
年を追うごとに、「クラウドの導入予定はない」という企業は減ってきていますが、これは、「クラウドに対しる不安がなくなったから導入する」ではなく、「クラウドに対する不安はまだあるが、メリットの方が大きいと感じるからクラウドを導入する。ただ、セキュリティ対策は万全に行う」というクラウド導入企業の行動の表れではないかと推察します。
(3)規制が強化されてきたため
例えば、EU圏で施行されている「EU一般データ保護規制 (GDPR)」によると、企業がEU圏内に住む市民の個人情報を漏えいさせた場合、最大で全世界の売上の4%を罰金として支払う必要があります。施行から1年以上が経過し、これは脅しではなかったことが分かっています。
イギリスの航空大手、ブリティッシュエアウェイズは2億460万ユーロ (247億円)、アメリカのホテル大手、マリオットインターナショナルは1億1039万ユーロ (133億円)、アメリカのIT大手のグーグルは5000万ユーロ (60億円)、という巨額の罰金を科せられています。
GDPRはEUに本社がある企業だけでなく、EU圏で営業活動するすべての企業が対象となるため、日本企業も例外ではありません。非EU圏の企業の多くも、「巨額の罰金をは避けるために、多額のセキュリティ投資を行っても割に合う」という判断を行った可能性が高いといえます。
クラウドに対するセキュリティリスクを理解し対策する
最後に、クラウドに対するセキュリティリスクには、具体的にはどのようなものがあるかを確認しておきましょう。クラウドにおけるセキュリティベストプラクティスを啓発・推奨する「クラウド・セキュリティ・アライアンス」は、以下の11を脅威として発表しています。
- データ漏えい
- 設定ミスと誤った変更管理
- クラウドセキュリティアーキティチャーとその戦略の欠如
- 不十分なID、資格情報、アクセスおよびキー管理
- アカウントの乗っ取り
- 内部犯行
- 安全でないインターフェイスとAPI
- 弱いコントロールプレーン
- メタストラクチャーとアプリストラクチャーの欠陥
- クラウド利用状況の限定的な可視化
- クラウドサービスの濫用と不正使用
クラウドセキュリティに投資を行うには、上記の項目を念頭に入れつつ、正しい優先順位で無駄のない投資を心掛けるようにしてください。ちなみに、当社が提供するクラウド型ID管理サービス (IDaaS) のトラスト・ログインは、上記の「4: 不十分なID、資格情報、アクセスおよびキー管理」のリスクの低減に役立ちますので、ぜひご評価ください。