「AWS利用時の課題とセキュリティ」に関する調査が実施

近年、DX推進の加速に伴って「クラウドコンピューティング」に移行する企業が増加している。クラウドコンピューティングは、物理的なサーバーを用いた従来型の「オンプレミス」と異なり、インターネット上のクラウドサーバーを用いてデータ処理などを行う手法だ。代表格とも言えるサービスは、AWS（アマゾン ウェブ サービス）だという。AWSは世界で最も広く採用されているクラウドコンピューティングであり、日本においても採用する企業が増えている。もちろん、こうしたDX推進により利便性を向上させる際には、セキュリティ対策も非常に重要となる。サイバー攻撃の被害にあった場合、企業は信用失墜のみならず損害賠償といった大きなリスクも負いかねない。サービスの選定／導入においてセキュリティを最重要視している企業も多いという。

セキュリティのニーズに対応するサービスとして、AWSには「 AWS WAF 」（WAF＝ウェブアプリケーションファイアウォール）というセキュリティシステムが含まれている。しかしこのAWS WAFは、現状では有効活用に高い専門性が必要であり、導入しても上手く運用できるとは限らないという。AWSを利用している企業は、AWSの利用やAWS WAFの運用において、どのような課題に直面しているのか。そこで今回、同社は、従業員数100名以上のAWSを利用している企業の経営者・Web事業部門のセキュリティ担当者・情報システム部門担当者を対象に、「AWS利用時の課題とセキュリティ」に関する調査を実施したとのことだ。

はじめに、コロナ禍が、AWSの利用にどう影響しているかについて聞いた。「貴社のAWSの利用状況について、コロナ禍でのテレワーク推進、Webシステムの活用増など、コロナとパブリッククラウドへのシステムインフラ移行の加速化には関連性があると思いますか？」と質問したところ、9割近くが『非常に関連性が高いと思う（33.1％）』『ある程度の関連性はあると思う（53.0％）』と回答した。コロナ禍では、あらゆる業種、職種においてデジタル化が急激に進んだ。結果からは、こうしたシステムインフラ移行の加速とコロナ禍との関連性を、9割近い人があると考えていることがわかる。

先程の調査では、AWSといったクラウドコンピューティングの導入が、コロナ禍の影響で拡大していることがわかった。ここからは、AWS利用における不安や課題についても聞いた。

「AWSの活用の際にどのような不安や課題をお持ちですか？（複数選択可）」と質問したところ、『セキュリティ対策（51.6％）』と回答した人が最も多く、次いで『既存システムとの互換性（42.1％）』『自由度が低い・カスタマイズがしにくい（28.4％）』となった。冒頭でも触れたセキュリティに関する不安や課題についての回答が、半数を超えて最多となった。

セキュリティ面で最も脅威となるのはもちろん、悪意を持って不正なアクセスを図るサイバー攻撃だという。このサイバー攻撃についても聞いた。「サイバー攻撃の発生時に企業が受ける被害として深刻だと思うものは何ですか？（複数選択可）」と質問したところ、『個人情報の流出（51.6％）』と回答した方が最も多く、次いで『システム破壊（38.5％）』『ビジネス機会の損失（35.7％）』『Webサイトの改ざん（35.5％）』『システム復旧費用（28.0％）』となった。個人情報の流出を恐れているようだが、リスクの回避を支援すべく、市場にはすでに様々なセキュリティ製品が販売されている。このセキュリティ製品に対する意向も聞いた。

「現在、パブリッククラウド上のシステムについて、導入済み、または導入を検討しているセキュリティ製品は何ですか？」と質問したところ、『IDS/IPS（30.0％）』と回答した人が最も多く、次いで『FW（29.0％）』『NGFW（13.9％）』『WAF（13.3％）』となった。通信内容を監視して不正なアクセスを検知／防御する『IDS/IPS』が、セキュリティとして広く知られる『FW（ファイアウォール）』を抜いて最多となった。しかし、『FW』も近い数の回答を集めており、また『WAF』や次世代型ファイアウォールである『NGFW』も合わせると、その数は過半数に達する。

ここからは、ファイアウォールに関する考えを明らかにするために、AWSのファイアウォールであるAWS WAFについて聞いた。

まず、「AWS WAFを導入済み、または導入を検討中ですか？」と質問したところ、4分の3以上が『AWS WAFを導入済みである（32.1％）』『AWS WAFの導入を検討している（43.7％）』と回答した。すでに導入しているAWS利用企業は3割を超え、導入を検討する企業も4割以上に達している。とはいえ、専門知識がないと扱いがまだまだ難しいのがIT機器やITサービスだという。AWS WAFも、実際の利用や導入について課題を感じることもあるかもしれない。このあたりの事情も聞いた。

「AWS WAF導入の際に抱えている課題は何ですか？（複数選択可）」と質問したところ、『新規の脆弱性の早期発見と防御のための対応がわからない（40.5％）』と回答した人が最も多く、次いで『WAFルール作成のための専門知識がなく、高い防御性能を作れない（34.5％）』『誤検知や過剰検知が発生した時、適切な対応ができない（28.4％）』となった。『対応ができない』『専門知識がない』など、使う側に関する回答が多く集まった。

先程の調査では、多くのAWS利用企業がAWS WAF導入に積極的であり、かなりの企業がすでに活用していることもわかった。その一方で、こうした製品の運用については課題を感じている企業が多いことも、結果からは見えてきた。ここからは、こうした課題の実情などに関してさらに詳しく聞いた。まずは、課題の解決において最も重要とも言える予算についてだ。

「貴社でのIT予算における、サイバーセキュリティの年間予算（概算）を教えてください」と質問したところ、『1,000万円以上（29.8％）』と回答した人が最も多く、次いで『100万円以上300万円未満（23.6％）』『300万円以上600万円未満（21.4％）』となった。回答結果からみて多くのAWS利用企業は、セキュリティに対して強い意識を持っていると言える。こうした予算を使ってセキュリティ製品やサービスを導入する際、どのような点を重視して選択をするのか。検討するポイントについても聞いた。

「セキュリティを導入する際に重要だと思う検討要素は何ですか？（上位3つまで選択可）」と質問したところ、『テクニカルサポート（44.8％）』と回答した人が最も多く、次いで『費用（41.9％）』『セキュリティ運用管理サービス（40.1％）』となった。

では、セキュリティ運用に関する知見のあるセキュリティの専門家は社内にいるのだろうか。

そこで、「貴社内にセキュリティ導入と運用・管理ができるセキュリティ専門家はいますか？」と質問したところ、『いる（74.6％）』『いない（25.4％）』という結果になった。7割以上の企業が、社内にセキュリティ専門家を確保していることが明らかになった。セキュリティの脆弱性は重要な問題だが、社内ではどう考えられているのか。そこで、「セキュリティ課題に取り組む際の最新脆弱性への対応について、貴社での重要度および優先順位はどのようになっていますか？」と質問したところ、『最新脆弱性対応は重要だが、現実問題として専門家がおらず対応できない（31.2％）』と回答した人が最も多く、次いで『最新脆弱性対応は重要で、現在適用しているセキュリティ内容で満足している（24.0％）』『最新脆弱性対応は重要だが、そこまで手が回らない（17.7％）』となった。『専門家がおらず対応できない』という回答が3割以上を占めて最多となった。『そこまで手が回らない』という回答も合わせると、半数近い企業が最新脆弱性への対応を重視しながら、リソースの欠如から施策は打てていないことがわかるとのことだ。

調査概要：「AWS利用時の課題とセキュリティ」に関する調査
【調査期間】2022年2月4日（金）～2022年2月5日（土）
【調査方法】インターネット調査
【調査人数】504人
【調査対象】従業員数100名以上のAWSを利用している企業の経営者・Web事業部門のセキュリティ担当者・情報システム部門担当者
【モニター提供元】ゼネラルリサーチ