クラウドセキュリティ調査結果: 優れたセキュリティは優れたビジネス成果をもたらす

This post is also available in: English (英語)

キャリアを台無しにするリスクを覚悟の上で、私の知る秘密をすべて明かしましょう。クラウドセキュリティは存在しません。存在するのは「事業を拡大する」セキュリティ、「お客様にとってより良い」セキュリティ、「イノベーションを推進する」セキュリティ...まだまだたくさんあります。もちろん、これはちょっとしたジョークで、クラウドセキュリティは間違いなく実在します。けれども、このジョークは2回目の年次業界調査「2022年版クラウド ネイティブ セキュリティ最新情勢レポート」から得られた、ある教訓を表しています。すなわち、強力なセキュリティはビジネス成果の改善に貢献できるのです。

驚くには値しませんが、この2年の間にあらゆる国と業種でクラウド導入が加速しました。セキュリティ部門、開発部門、IT部門の専門家3,000名以上を対象とした調査から、まとまりのあるクラウド移行戦略を持つ企業の方が成功しやすいことが分かっています。クラウド導入のあるべき姿を決める軸が必要なのです。別の言い方をすれば、リーダーはクラウドのセキュリティを確保しようとする理由について考える必要があります。求めているのは「競争力を高める」セキュリティでしょうか? 「開発者の能力を高める」セキュリティでしょうか? それとも、また別のセキュリティでしょうか?

調査から、クラウド導入戦略の一環でセキュリティと自動化を導入した企業では、ビジネス成果の大幅な改善が確認されています。代表的な数値を挙げると、強力なクラウドセキュリティ体制を実現している企業の80%と、セキュリティチームと開発/DevOpsチームの「摩擦」が小さい企業の85%で、従業員の生産性が向上しました。

2022年版の クラウド ネイティブ セキュリティ最新情勢レポートで、この他にもいくつかの要点を紹介しています。ぜひご覧ください。

クラウド環境とクラウドリスクの急速な拡大

この1年で、ほぼあらゆる企業のクラウド導入戦略がCOVID-19パンデミックの影響を受けました。弊社が行ったクラウドセキュリティに関する調査によると、増大したクラウド需要に応じて企業は急速に移行を進めています。今では70%近くの企業がワークロードの半分以上をクラウドでホスティングしており、クラウド利用が全体で25%増加しています。

弊社の脅威インテリジェンスチームUnit 42が実施した前回調査では、クラウドの拡大に伴うクラウドセキュリティの自動化とクラウドリスクの軽減に苦労している企業が多数存在しました。今回の最新レポートによると、高レベルのセキュリティ自動化を達成している企業では、強力なセキュリティ体制を実現している割合が2倍以上であり、自動化の重要性をさらに裏付ける結果となっています。さらに、開発ライフサイクルにDevSecOpsの原則を厳密に取り入れている企業では、強力なセキュリティ体制を実現している割合が7倍以上に達しました。

ただし、セキュリティ自動化の苦労が必ずしも取り組みの不足によって生じているとは限りません。回答によると、クラウド移行における3大課題は包括的なセキュリティの維持、技術的な複雑さへの対処、コンプライアンス要件の達成です。この回答は、昨年の調査結果とほとんど変わっておらず、企業がワークロードをクラウドに移行させる状況や理由に関係なく、一貫してセキュリティが課題となっていることを示しています。

昨年、企業はクラウド導入戦略の加速を強いられましたが、そのスピードのおかげで、こうした課題に対するまたとない知見を入手できました。COVID-19が原因で世界的にクラウド導入スケジュールが短縮された結果、さまざまなクラウド セキュリティ アプローチを比較して短時間で結果を確認する、ある種の自然実験の機会が生じたからです。

クラウドセキュリティはビジネス成果を押し上げる

レポートでは、クラウド導入アプローチとその成果からパターンを見出し、代表的な3つの「類似グループ」に分類しました。この3つを「着実な導入」グループ、「急速な導入」グループ、「定着済み」グループと呼んでいます。分類の基準となった特徴や各グループの行動の詳細はレポート本文に譲りますが、分析の結果あらゆる企業でセキュリティと組織的な成果の間に明らかな関連が見られました。

たとえば、クラウドワークロードの拡大に向けた取り組みを昨年成功させた企業では、次の活動を実施しています。

  • 成長に対する明確で戦略的な理由、すなわち理解可能な組織目標を設定する。
  • 少数の信頼できるプロバイダから取得した、包括的なツールの導入に注力する。これに対し、失敗した企業では多数のプロバイダからポイントソリューションを導入していました。
  • 問題をお金の力で解決しようとせず、戦略を重視して経験に基づく統制・管理された支出を行う。
  • クラウド ネイティブ アプリケーション開発サイクルの全体に自動化とDevSecOpsの原則を組み込む。

また、高レベルの自動化を達成したグループでは、セキュリティ部門、開発部門、DevOps部門のチーム摩擦が小さい企業の割合が2倍以上となっています。

調査結果の詳細はレポートで

この記事では、『2022年版、クラウド ネイティブ セキュリティ最新情勢レポート』から興味深い知見のごく一部を紹介しました。この他にもレポートでは、調査結果を基にクラウドセキュリティに影響を与える予算配分と支出の方法、企業がセキュリティツールとソリューションプロバイダのバランスを取る方法、昨年のクラウド導入を成功(あるいは失敗)に導いたさまざまな要因といった内容に注目しています。

最新のクラウドセキュリティ調査レポートをぜひお確かめください。こちらのページから無料で入手できます。